Microsoft salvó a TikTok de una vulnerabilidad

Rubén Castro, 4 septiembre 2022

Una persona que crea contenido depende en gran medida de las redes sociales. Las aplicaciones que proporcionan autenticación de dos factores y los gestores de contraseñas son necesarios para garantizar la seguridad de las cuentas de los usuarios; sin embargo, estas herramientas no pueden hacer mucho si las propias aplicaciones son inseguras. Imagina que haces clic en un enlace que concede a un desconocido acceso a tu cuenta de TikTok, dándole el poder de ver tus chats privados, hacer públicos tus vídeos privados, editar tu biografía y añadir nuevos contenidos. Tu cuenta podría haber sido eliminada con un solo click en un enlace dirigido, pero Microsoft pudo encontrar y solucionar la vulnerabilidad a tiempo.


Los “deeplinks” de la aplicación podrían ser explotados. Los deeplinks son enlaces hiperespecíficos que permiten acceder a componentes y funciones individuales del programa. Los deeplinks son cada vez más populares. Las aplicaciones de Android, como TikTok, declaran su método preferido de gestión de notificaciones en el manifiesto de la aplicación. Si haces clic en m.tiktok.com, el manifiesto se asegurará de que la aplicación TikTok se inicie. Debido a que la aplicación está diseñada para cargar el contenido de WebView sólo después de que la URL haya sido validada, los Reels de Instagram, que están alojados en un dominio y URL separados, no se abren en TikTok.

Microsoft descubrió que el componente WebView de TikTok podría permitir a los atacantes eludir el proceso de verificación de enlaces profundos. Debido a que los puentes de JavaScript se incluyen en WebView, es posible que el código malicioso se comunique con objetos a nivel de aplicación si se carga a través de una URL (bloques de código para acciones y componentes in-app). Esto puede haber provocado la ejecución de código malicioso, así como la filtración y el daño de datos. Lo único que tenía que hacer la víctima era hacer clic en un enlace.

Más de 1.500 millones de usuarios han descargado las aplicaciones de TikTok que se vieron comprometidas. Tras recibir un aviso de Microsoft en febrero de 2022, los desarrolladores de TikTok parchearon el CVE-2022-28799 en su aplicación. Actualiza tu versión de TikTok inmediatamente si aún no lo has hecho.

Nos alivia que los expertos en seguridad hayan descubierto esta debilidad antes que los delincuentes, y Microsoft mantiene que no ha observado que se utilice ningún exploit en la naturaleza. Debido a estas vulnerabilidades, deberíamos actualizar inmediatamente nuestras aplicaciones de software y sistemas operativos.