imágenes falsas
Microsoft dijo el miércoles que recientemente identificó una vulnerabilidad en la aplicación de Android de TikTok que podría permitir a los atacantes secuestrar cuentas cuando los usuarios no hacen más que hacer clic en un enlace incorrecto. El fabricante de software dijo que notificó a TikTok sobre la vulnerabilidad en febrero y que la compañía de redes sociales con sede en China solucionó la falla, que se rastrea como CVE-2022-28799.
La vulnerabilidad radica en cómo la aplicación busca lo que se conoce como enlaces profundos, que son hipervínculos específicos de Android para acceder a componentes individuales dentro de una aplicación móvil. Los enlaces profundos deben declararse en el manifiesto de la aplicación para su uso fuera de la aplicación, por lo que, por ejemplo, una persona que hace clic en un enlace de TikTok en el navegador, el contenido se abre automáticamente en la aplicación TikTok.
La aplicación también puede anunciar de forma críptica la validez de un dominio URL. TikTok en Android, por ejemplo, anuncia el dominio m.tiktok.com. Normalmente, TikTok permitirá que el contenido de tiktok.com se cargue en su componente WebView, pero evitará que WebView cargue contenido de otros dominios.
«La vulnerabilidad permitió eludir la verificación de enlace profundo de la aplicación», escribieron los investigadores. «Los atacantes pueden obligar a la aplicación a cargar una URL aleatoria en la vista web de la aplicación, lo que luego permite que la URL acceda a los puentes de JavaScript adjuntos a la vista web y otorgue funcionalidad a los atacantes».
Los investigadores continuaron creando un exploit de prueba de concepto que hizo precisamente eso. Implicaba enviar un enlace malicioso a un usuario de TikTok objetivo, que, al hacer clic, obtenía los códigos de autenticación que los servidores de TikTok requieren para que los usuarios verifiquen la propiedad de su cuenta. El enlazador de PoC también cambió la biografía del perfil del usuario objetivo para mostrar el texto «¡¡¡INCURRIMIENTO DE SEGURIDAD!!»
Una vez que el usuario de TikTok objetivo hace clic en el enlace malicioso diseñado específicamente para el atacante, el servidor del atacante, https://www.attacker[.]com/poc, tiene acceso completo al puente de JavaScript y puede llamar a cualquier función expuesta”, escribieron los investigadores. El servidor del atacante devuelve una página HTML que contiene código JavaScript para enviar los códigos de carga de video al atacante y cambiar una biografía».
Microsoft dijo que no tenía evidencia de que la vulnerabilidad fuera explotada activamente en la naturaleza.
