El equipo de de investigadores de Microsoft 365 Defender ha dado a conocer ahora la vulnerabilidad encontrada en la aplicación de TikTok para Android a la que han calificado de alta gravedad, por cuanto permitiría a los atacantes hacerse con las cuentas de los usuarios afectados que simplemente hayan presionado un enlace malicioso, lo que les facilitaría el acceso a los principales controles de las cuentas afectadas.
Los investigadores alertaron al equipo de TikTok de la vulnerabilidad el pasado mes de febrero como parte de su política de divulgación responsable, y estos procedieron a corregir la vulnerabilidad rápidamente, la cual queda ahora identificada como CVE-2022-28799.
Por el momento no ha habido indicios de que esta vulnerabilidad haya sido explotada a gran escala, a pesar de estar afectada las dos versiones globales existentes de la aplicación de TikTok para dispositivos Android, una destinada para el este y sudeste de Asia, y la otra para los países restantes, y que cuenta en total con más de 1500 millones de descargas en Google Play Store.
Dichos investigadores señalan en una publicación de blog que:
La vulnerabilidad permitió omitir la verificación de enlace profundo de la aplicación. Los atacantes podrían obligar a la aplicación a cargar una URL arbitraria en la vista web de la aplicación, lo que permitiría que la URL acceda a los puentes de JavaScript adjuntos de la vista web y otorgue funcionalidad a los atacantes.
Elogian la rapidez con el que el equipo de seguridad de TikTok ha corregido rápidamente la vulnerabilidad, instando a los usuarios a verificar que disponen siempre de la última versión de la aplicación:
Elogiamos la resolución eficiente y profesional del equipo de seguridad de TikTok. Se recomienda a los usuarios de TikTok que se aseguren de estar usando la última versión de la aplicación.
Este trabajo de investigación se realiza con la finalidad de proteger la seguridad de los usuarios ante posibles amenazas, independientemente de las plataformas que puedan resultar ser afectadas.
A este respecto, indican que:
A medida que las amenazas entre plataformas continúan creciendo en número y sofisticación, se necesitan divulgaciones de vulnerabilidades, respuestas coordinadas y otras formas de compartir inteligencia de amenazas para ayudar a proteger la experiencia informática de los usuarios, independientemente de la plataforma o el dispositivo en uso.
Todos los detalles técnicos se encuentran disponibles en el blog de seguridad de Microsoft.