- Microsoft encontró una vulnerabilidad en la aplicación TikTok para dispositivos Android que permitía que ciberatacantes secuestraran cualquier cuenta que diera clic en un enlace malicioso.
- Los atacantes podrían haber usado la vulnerabilidad para publicar videos, enviar mensajes y editar detalles de la cuenta.
- La vulnerabilidad afectó a todas las variantes globales de TikTok en Android, que tiene más de 1,500 millones de descargas en la Google Play Store.
- ¿Ya conoces nuestra cuenta en Instagram? Síguenos.
Microsoft encontró una vulnerabilidad en la aplicación TikTok para dispositivos Android que permitía que ciberatacantes se apoderaran de cualquier cuenta.
La compañía tecnológica reveló la vulnerabilidad este miércoles en una publicación de blog del equipo de investigación 365 Defender de Microsoft.
La vulnerabilidad pudo haberse utilizado para secuestrar la cuenta de cualquier usuario de TikTok en Android sin su conocimiento tras dar clic en el enlace malicioso.
Después de dar clic en el enlace, el atacante tendría acceso a todas las funciones principales de la cuenta, incluida la capacidad de cargar y publicar videos, enviar mensajes a otros usuarios y ver videos privados almacenados en la cuenta.
La vulnerabilidad afectó a todas las variantes globales de la TikTok en Android, que tiene un total de más de 1,500 millones de descargas en la Google Play Store. Sin embargo, Microsoft dijo que no hay evidencia de que haya sido explotada realmente.
Microsoft informó a TikTok sobre la vulnerabilidad y ya fue reparada
De acuerdo con Microsoft, la vulnerabilidad afectó la funcionalidad de enlace profundo de la aplicación de Android. Esta le dice al sistema operativo que permita que ciertas aplicaciones procesen los enlaces de una manera específica.
Este manejo de enlaces incluye un proceso de verificación que debería restringir las acciones realizadas cuando una aplicación carga un enlace determinado; sin embargo, los investigadores de Microsoft encontraron una manera de eludir este proceso de verificación y ejecutar una serie de funciones potencialmente dañinas dentro de la aplicación. Una de estas permite recuperar un token de autenticación vinculado a una cuenta, otorgando acceso a esta sin necesidad de ingresar una contraseña.
Afortunadamente, Microsoft dijo que informó a TikTok en el momento que detectó la vulnerabilidad y que esta ya fue reparada.
AHORA LEE: Menores de edad utilizan Discord para ganar dinero propagando malware, reporta Avast
TAMBIÉN LEE: Las apps maliciosas y el fraude de marca se alzan como ciberamenazas en México, según expertos
