El miércoles 31 de agosto, Microsoft dijo que descubrió una falla en la aplicación de Android de TikTok. El gigante estadounidense especifica que informó a TikTok de esta falla de seguridad en febrero de 2022. Desde entonces, la red social propiedad de ByteDance corrigió la falla. Esto está listado como CVE-2022-28799.
Una vulnerabilidad en la aplicación de Android de TikTok
Según el comunicado de Microsoft, se trata de una falla de seguridad en la interfaz JavaScript expuesta de la aplicación de Android. Una vulnerabilidad que podría explotarse con un componente WebView de la aplicación de Android TikTok (una aplicación que se descargó de todos modos 1.500 millones de veces de Google Play Store). Para comprender completamente, debe saber que WebView es un componente de Android que permite que las aplicaciones escritas en los lenguajes de programación Java y Kotlin muestren contenido web.
Próximamente habrá un botón de edición en Twitter
Microsoft aclara en su comunicado que antes del lanzamiento de la versión 23.7.3, » la aplicación TikTok para Android permitió a un atacante tomar el control de una cuenta. Podría aprovechar una interfaz de JavaScript adjunta para tomar el control con un solo clic «. Hay dos versiones de la aplicación TikTok en Android: una es para el este y sudeste de Asia y la otra es para otras partes del mundo. Ambas versiones contenían esta vulnerabilidad..
¿Un error del desarrollador?
Microsoft quiso saludar” la resolución eficiente y profesional del equipo de seguridad de TikTok «. La falla de seguridad fue rápidamente identificada y tratada por la red social. Usuarios de la versión Android de TikTok se les anima a utilizar la última versión de la aplicación. Según Dimitrios Valsamaras, investigador del equipo de investigación de Microsoft 365 Defender, “ la vulnerabilidad se deriva de la forma en que los desarrolladores de TikTok implementaron las interfaces de JavaScript de la aplicación en WebView «.
En concreto, con esta vulnerabilidad, los ciberdelincuentes podría obligar a la aplicación a cargar una URL arbitraria en la Vista Web. Los investigadores señalan que cargar contenido web que no es de confianza en WebView con objetos de nivel de aplicación accesibles a través del código JavaScript, hace que la aplicación » vulnerable a la inyección de interfaz de JavaScript, lo que puede provocar la fuga de datos, la corrupción de datos o, en algunos casos, la ejecución de código arbitrario «.
En pocas palabras, al controlar uno de los métodos capaces de realizar solicitudes HTTP autenticadas, un actor malicioso podría haber comprometido una cuenta de usuario de TikTok. Estas no son las primeras fallas que se descubren en la red social. En 2020, los investigadores de ciberseguridad revelaron otras dos vulnerabilidades. Una era enviar mensajes a los usuarios de TikTok usando la apariencia de la aplicación. El mensaje contenía malware escondido detrás de un enlace. Si se hizo clic en el enlace, el atacante podría tomar el control de la cuenta.