Una falla de seguridad en Tik Tok expuso millones de cuentas
Un error en la app, que afectó a usuarios de Android, dejaba abierta la posibilidad tomar el control del perfil de los tiktokers.
Una falla detectada en TikTok podría haber permitido a piratas informáticos secuestrar las cuentas de los usuarios de la aplicación de videos cortos con un solo clic, acceder a los perfiles y hasta tomar control de todo lo referido al perfil del tiktoker, como subir videos, borrarlos y enviar mensajes privados.
Según informaron este miércoles investigadores de Microsoft, la falla de seguridad, identificada como CVE-2022-28799, afectó a quienes tienen instalada la aplicación en sistemas operativos Android.
El fallo alteró la forma en que TikTok programaba lo que se conoce como deeplinking, una función de Android que permite a las aplicaciones manejar los enlaces dentro de las plataformas. El deeplinking se utiliza cuando, por ejemplo, una aplicación se abre automáticamente después de que el usuario haya hecho clic en un botón dentro de Chrome.
Los ingenieros de la división de investigaciones de vulnerabilidades de Microsoft descubrieron que el error permitía eludir el proceso de verificación de deeplinks de TikTok. De esa manera, los atacantes podían forzar la aplicación y mediante la ejecución de algunos comandos acceder al control de la cuenta.
Una vez con el control de la cuenta, los hackers podrían haber utilizado esta falla para subir videos y enviar mensajes en nombre de los usuarios, así como acceder a información sensible, como clips privados o directamente cerrar la cuenta.
A pesar de que la vulnerabilidad no era especialmente sencilla -requeriría que los atacantes descubrieran varios agujeros en el código y ejecutaran diferentes comandos-, caer en la trampa sí lo era: con solo un clic en un enlace malicioso los tiktokers podrían perder el control y acceso a su cuenta.
Microsoft no dio detalles sobre el alcance final de la vulnerabilidad al no haber encontrado pruebas suficientes ni denuncias graves de usuarios afectados específicamente con la falla CVE-2022-28799. Por su parte, TikTok tampoco hizo comentarios al respecto.
¿Es TikTok una app segura?
En los últimos años, la empresa que maneja la aplicación de videos cortos rechazó siempre las críticas de legisladores y funcionarios gubernamentales de Estados Unidos que la consideran un riesgo para la seguridad debido a los datos que recopila y a sus vínculos con China.
Por ejemplo, a principios de año, investigadores de Check Point, una importante empresa de ciberseguridad, dijeron que una vulnerabilidad dejaba expuesta información privada de los usuarios.
Y en 2020, la misma empresa ya había descubierto -y solucionado- fallos que habrían permitido a piratas informáticos apoderarse de las cuentas enviando a usuarios mensajes con enlaces maliciosos.
Problema solucionado
Aunque la noticia de la falla CVE-2022-28799 se dio a conocer hoy, el equipo de investigación de Microsoft 365 Defender descubrió el error en febrero.
Luego de un extenso informe sobre la falla, los analistas se pusieron en contacto con TikTok y, según informó la plataforma china, se publicó rápidamente una solución para la vulnerabilidad. El parche fue activado con la actualización de la app, por lo que ambas empresas recomendaron mantener siempre la última versión.
“Elogiamos la resolución eficiente y profesional del equipo de seguridad de TikTok”, comunicó el grupo de investigadores de Microsoft. “Animamos a los usuarios de TikTok a que se aseguren de que están utilizando la última versión de la app”, finalizó el informe de los investigadores.