Una nueva amenaza para la seguridad en las redes sociales 😱
Recientemente, Microsoft anunció que ha identificado una vulnerabilidad significativa en la aplicación de Android de TikTok. Esta falla puede permitir que los atacantes puedan secuestrar cuentas de usuarios con solo hacer clic en un enlace malicioso. Microsoft notificó a TikTok sobre esta vulnerabilidad en febrero, y desde entonces, la plataforma de redes sociales, que tiene su sede en China, ha tomado medidas para corregir la falla, identificada como CVE-2022-28799.
Cómo funciona la vulnerabilidad
La vulnerabilidad se encuentra en la gestión de los llamados enlaces profundos, que son hipervínculos específicos de Android diseñados para acceder a funciones individuales dentro de una aplicación móvil. Para ilustrar, cuando un usuario hace clic en un enlace de TikTok en su navegador, la aplicación debería abrir automáticamente ese contenido en la interfaz de TikTok.
Sin embargo, la aplicación TikTok funciona de tal manera que puede declarar criptográficamente la validez de un dominio URL. Por ejemplo, en Android, TikTok reconoce el dominio m.tiktok.com. No obstante, la aplicación normalmente no permite que su componente WebView cargue contenido de otros dominios. Esto se supone que debe proporcionar una cierta medida de seguridad.
Los investigadores señalan que esta vulnerabilidad específica permite eludir las verificaciones de enlaces profundos de la app, lo que significa que un atacante podría forzar a TikTok a cargar una URL arbitraria en su WebView, lo cual otorgaría a la URL acceso a las funciones de JavaScript adjuntas dentro de la vista web.
El experimento de los investigadores
Para evaluar la gravedad de esta vulnerabilidad, los investigadores desarrollaron un exploit de prueba de concepto (PoC). Este empezó por enviar a un usuario de TikTok objetivo un enlace malicioso. Al hacer clic en dicho enlace, el atacante podría obtener tokens de autenticación necesarios para que los servidores de TikTok reconozcan la propiedad de una cuenta, permitiendo así el control total sobre la misma. Además, el enlace también podía modificar la biografía del perfil del usuario afectado.
Los investigadores subrayan que, aunque se ha desarrollado un mecanismo para explotar esta vulnerabilidad, no hay evidencia concreta de que haya sido utilizada en la naturaleza.
Consecuencias para los usuarios
Los usuarios de TikTok deben ser conscientes de esta vulnerabilidad, dado que resalta la importancia de ser cautelosos con los enlaces que reciben. Aquí te dejamos algunos consejos sobre cómo proteger tu cuenta:
- 🔒 No hagas clic en enlaces de fuentes desconocidas.
- 🔒 Activa la autenticación en dos pasos en tu cuenta de TikTok.
- 🔒 Mantén tu aplicación de TikTok y tu sistema operativo actualizados.
- 🔒 Informa sobre enlaces sospechosos a TikTok y a tu proveedor de servicios de internet.
🔍 En conclusión, la identificación y corrección de vulnerabilidades como esta son fundamentales para la seguridad en línea de millones de usuarios. Con la creciente dependencia de las redes sociales, es vital mantenerse informado y ser proactivo en la protección de nuestra información personal.
Recuerda: ¡La seguridad online empieza con ti! 😊
