Los atacantes tenían acceso a todas las funciones principales de la cuenta, como publicar vídeos o enviar mensajes a otros usuarios.
TikTok se expone a una multa de 64.700 euros en Rusia por “propaganda” feminista y LGTBI.
La vulnerabilidad fue parcheada.La vulnerabilidad fue parcheada.©[ Alexander Shatov] via Unsplash.com.
Una vulnerabilidad en TikTok para Android podría haber permitido que los atacantes se apoderaran de cualquier cuenta que hiciera clic en un enlace malicioso.
Los detalles del exploit de un clic se revelaron en el blog del equipo de investigación 365 Defender de Microsoft, además, la vulnerabilidad fue detectada por Microsoft y ha sido parcheada.
El error etiquetado como “vulnerabilidad de alta gravedad” podría haberse utilizado para secuestrar la cuenta de cualquier usuario de TikTok en Android. El impacto afectó a todas las variantes globales de la aplicación Android TikTok con un total de más de 1.500 millones de descargas en Play Store.
Cuando las víctimas hacían clic en el enlace, los atacantes tenían acceso a todas las funciones principales de la cuenta, incluida la capacidad de cargar y publicar vídeos, enviar mensajes a otros usuarios y ver vídeos privados.
El feed se está probando con determinados usuarios.
TikTok prueba el feed ‘Cercano’ para mostrar contenido local
Según los detalles publicados en el blog, la vulnerabilidad afectó la funcionalidad de enlace profundo de la aplicación de Android, teniendo en cuenta que este manejo le dice al sistema operativo que permita que determinadas apps procesen los enlaces de una manera específica.
Dimitrios Valsamaras (Microsoft 365 Defender Research Team) afirma en el blog que “a medida que las amenazas entre plataformas continúan creciendo en número y sofisticación, se necesitan divulgaciones de vulnerabilidades, respuestas coordinadas y otras formas de compartir inteligencia de amenazas para ayudar a proteger la experiencia informática de los usuarios, independientemente de la plataforma o el dispositivo en uso”.
TikTok reportó casi 155.000 vídeos relacionados con abuso sexual infantil el año pasado.
TikTok en iOS registra tus pulsaciones del teclado según un informe
La respuesta de TikTok
Un portavoz de TikTok afirma a 20Bits que “a través de nuestra colaboración con los investigadores de seguridad de Microsoft, hemos descubierto y solucionado rápidamente una vulnerabilidad en algunas versiones antiguas de la aplicación para Android. Agradecemos a los investigadores de Microsoft sus esfuerzos para ayudar a identificar posibles problemas para que podamos resolverlos”.
