Microsoft revel\u00f3 el mi\u00e9rcoles detalles de una “vulnerabilidad de alta gravedad” ahora parcheada en la aplicaci\u00f3n TikTok para Android que podr\u00eda permitir a los atacantes tomar el control de las cuentas cuando las v\u00edctimas hicieran clic en un enlace malicioso.<\/p>\n
“Los atacantes podr\u00edan haber aprovechado la vulnerabilidad para secuestrar una cuenta sin que los usuarios se dieran cuenta si un usuario objetivo simplemente hiciera clic en un enlace especialmente dise\u00f1ado”, Dimitrios Valsamaras del Microsoft 365 Defender Research Team. dijo<\/a> en un escrito.<\/p>\n La explotaci\u00f3n exitosa de la falla podr\u00eda haber permitido a los actores maliciosos acceder y modificar los perfiles de TikTok de los usuarios y la informaci\u00f3n confidencial, lo que llev\u00f3 a la exposici\u00f3n no autorizada de videos privados. Los atacantes tambi\u00e9n podr\u00edan haber abusado del error para enviar mensajes y subir videos en nombre de los usuarios.<\/p>\n El problema, abordado en la versi\u00f3n 23.7.3, afecta dos versiones de su aplicaci\u00f3n de Android com.ss.android.ugc.trill (para usuarios de Asia oriental y sudoriental) y com.zhiliaoapp.musically (para usuarios de otros pa\u00edses excepto India, donde est\u00e1 prohibido). Combinadas, las aplicaciones tienen m\u00e1s de 1.500 millones de instalaciones entre ellas.<\/p>\n rastreado como CVE-2022-28799<\/a> (puntaje CVSS: 8.8), la vulnerabilidad tiene que ver con el manejo de la aplicaci\u00f3n de lo que se llama un enlace profundo, un hiperv\u00ednculo especial que permite que las aplicaciones abran un recurso espec\u00edfico dentro de otra aplicaci\u00f3n instalada en el dispositivo en lugar de dirigir a los usuarios a un sitio web.<\/p>\n “Una URL manipulada (enlace profundo no validado) puede obligar a com.zhiliaoapp.musically WebView a cargar un sitio web arbitrario”, seg\u00fan un aviso sobre la falla. “Esto puede permitir que un atacante aproveche una interfaz de JavaScript adjunta para tomar el control con un solo clic”.<\/p>\n En pocas palabras, la falla hace posible eludir las restricciones de las aplicaciones para rechazar hosts que no sean de confianza y cargar cualquier sitio web elegido por el atacante a trav\u00e9s del sistema Android. WebView<\/a>un mecanismo para mostrar contenido web en otras aplicaciones.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Aplicaci\u00f3n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1662020116_298_Microsoft-descubre-un-exploit-grave-de-un-clic-para-la.jpg\" "\\"Aplicaci\u00f3n")
<\/div>\n![\"Aplicaci\u00f3n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1662020116_358_Microsoft-descubre-un-exploit-grave-de-un-clic-para-la.jpg\" "\\"Aplicaci\u00f3n")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n