Microsoft encontró una vulnerabilidad en TikTok que permitía conciliaciones de cuentas con un solo clic

imágenes falsas

Microsoft dijo el miércoles que recientemente identificó una vulnerabilidad en la aplicación de Android de TikTok que podría permitir a los atacantes secuestrar cuentas cuando los usuarios no hacen más que hacer clic en un enlace incorrecto. El fabricante de software dijo que notificó a TikTok sobre la vulnerabilidad en febrero y que la compañía de redes sociales con sede en China solucionó la falla, que se rastrea como CVE-2022-28799.

La vulnerabilidad radica en cómo la aplicación busca lo que se conoce como enlaces profundos, que son hipervínculos específicos de Android para acceder a componentes individuales dentro de una aplicación móvil. Los enlaces profundos deben declararse en el manifiesto de la aplicación para su uso fuera de la aplicación, por lo que, por ejemplo, una persona que hace clic en un enlace de TikTok en el navegador, el contenido se abre automáticamente en la aplicación TikTok.

La aplicación también puede anunciar de forma críptica la validez de un dominio URL. TikTok en Android, por ejemplo, anuncia el dominio m.tiktok.com. Normalmente, TikTok permitirá que el contenido de tiktok.com se cargue en su componente WebView, pero evitará que WebView cargue contenido de otros dominios.

«La vulnerabilidad permitió eludir la verificación de enlace profundo de la aplicación», escribieron los investigadores. «Los atacantes pueden obligar a la aplicación a cargar una URL aleatoria en la vista web de la aplicación, lo que luego permite que la URL acceda a los puentes de JavaScript adjuntos a la vista web y otorgue funcionalidad a los atacantes».

Los investigadores continuaron creando un exploit de prueba de concepto que hizo precisamente eso. Implicaba enviar un enlace malicioso a un usuario de TikTok objetivo, que, al hacer clic, obtenía los códigos de autenticación que los servidores de TikTok requieren para que los usuarios verifiquen la propiedad de su cuenta. El enlazador de PoC también cambió la biografía del perfil del usuario objetivo para mostrar el texto «¡¡¡INCURRIMIENTO DE SEGURIDAD!!»

READ  Regulador chileno multa a mina Escondida de BHP por daños en el Salar de Atacama

Una vez que el usuario de TikTok objetivo hace clic en el enlace malicioso diseñado específicamente para el atacante, el servidor del atacante, https://www.attacker[.]com/poc, tiene acceso completo al puente de JavaScript y puede llamar a cualquier función expuesta”, escribieron los investigadores. El servidor del atacante devuelve una página HTML que contiene código JavaScript para enviar los códigos de carga de video al atacante y cambiar una biografía».

Microsoft dijo que no tenía evidencia de que la vulnerabilidad fuera explotada activamente en la naturaleza.

Estaremos encantados de escuchar lo que piensas

Deje una respuesta

ELCORREODEBEJAR.COM ES PARTICIPANTE EN EL PROGRAMA DE ASOCIADOS DE AMAZON SERVICES LLC, UN PROGRAMA DE PUBLICIDAD DE AFILIADOS DISEÑADO PARA PROPORCIONAR UN MEDIO PARA QUE LOS SITIOS GANAN TARIFAS DE PUBLICIDAD POR PUBLICIDAD Y ENLACE A AMAZON.COM. AMAZON, EL LOGOTIPO DE AMAZON, AMAZONSUPPLY Y EL LOGOTIPO DE AMAZONSUPPLY SON MARCAS COMERCIALES DE AMAZON.COM, INC. O SUS AFILIADAS. COMO ASOCIADO DE AMAZON, GANAMOS COMISIONES DE AFILIADOS DE COMPRAS QUE CALIFICAN. ¡GRACIAS, AMAZON POR AYUDARNOS A PAGAR LOS GASTOS DE NUESTRO SITIO WEB! TODAS LAS IMÁGENES DE LOS PRODUCTOS PERTENECEN A AMAZON.COM Y SUS VENDEDORES.
El Correo de Béjar