El miércoles 31 de agosto, Microsoft dijo que había descubierto un fallo en la aplicación Android de TikTok. El gigante estadounidense dice que informó a TikTok de este fallo de seguridad en febrero de 2022. La red social, propiedad de ByteDance, ha corregido desde entonces el fallo. Aparece como CVE-2022-28799.
Vulnerabilidad en la aplicación Android de TikTok
Según el comunicado de Microsoft, se trataría de un fallo de seguridad en la interfaz JavaScript expuesta de la aplicación para Android. Una vulnerabilidad que podría ser explotada con un componente WebView de la aplicación TikTok para Android (una aplicación que se descargó 1.500 millones de veces de Google Play Store). Para entenderlo, hay que saber que WebView es un componente de Android que permite a las aplicaciones escritas en los lenguajes de programación Java y Kotlin mostrar contenido web.
Microsoft afirma en su comunicado que antes de la publicación de la versión 23.7.3, » la aplicación TikTok para Android permitió a un atacante tomar el control de una cuenta. Podrían aprovechar una interfaz JavaScript adjunta para controlar con un solo clic «. Hay dos versiones de la aplicación TikTok en Android: una para el este y el sudeste asiático y otra para otras partes del mundo. Ambas versiones contenían esta vulnerabilidad.
¿Error del desarrollador?
Microsoft ha querido saludar a « la resolución eficiente y profesional del equipo de seguridad de TikTok «. El fallo de seguridad fue rápidamente identificado y solucionado por la red social. Los usuarios de la versión Android de TikTok se les anima a utilizar la última versión de la aplicación. Según Dimitrios Valsamaras, investigador del equipo de investigación de Microsoft 365 Defender, « la vulnerabilidad proviene de la forma en que los desarrolladores de TikTok implementaron las interfaces JavaScript de la aplicación en WebView «.
En la práctica, con esta vulnerabilidad, los ciberdelincuentes podría forzar a la aplicación a cargar una URL arbitraria en la WebView. Los investigadores afirman que cargar contenido web no fiable en WebView con objetos a nivel de aplicación accesibles a través de código JavaScript hace que la aplicación » vulnerable a la inyección de interfaz de JavaScript, que puede conducir a la fuga de datos, la corrupción de datos, o, en algunos casos, la ejecución de código arbitrario «.
En pocas palabras, al controlar uno de los métodos capaces de realizar peticiones HTTP autenticadas, un actor malicioso podría haber comprometido un TikTok. Estas no son las primeras vulnerabilidades descubiertas en la red social. En 2020, los investigadores de ciberseguridad revelaron otras dos vulnerabilidades. Uno de ellos permitía enviar un mensaje a los usuarios de TikTok utilizando la apariencia de la aplicación. El mensaje contenía un malware oculto tras un enlace. Si se hacía clic en el enlace, el atacante podía tomar el control de la cuenta.
Como joven medio de comunicación independiente, OnDigital Magazine necesita tu ayuda. Apóyenos siguiéndonos y marcándonos como favoritos en Google News. Gracias por su apoyo.
