Microsoft salva a los usuarios de TikTok después de informar una vulnerabilidad que conduce al "secuestro de cuenta con un clic"

Mientras el mundo está ocupado disfrutando de la locura por la aplicación TikTok, los usuarios de la famosa plataforma para compartir videos no tienen idea de que casi son víctimas de una vulnerabilidad que podría haber permitido a los malos actores violar sus cuentas hace meses. Afortunadamente, se evitó antes de que los malos actores lo notaran después. Microsoft lo informó a TikTok, que lo resolvió de inmediato.

Microsoft detectó la vulnerabilidad etiquetada como "CVE-2022-28799" y la informó a TikTok en febrero pasado a través de su Divulgación de vulnerabilidad coordinada (CVD) a través de Microsoft Security Vulnerability Research (MSVR). Según el gigante tecnológico, el problema tenía un estado de gravedad alto con una puntuación de 8.3.

Aunque no se encontró evidencia de que CVE-2022-28799 fuera explotado en la naturaleza, la vulnerabilidad puso en peligro miles de millones de cuentas de usuarios de TikTok. Específicamente, el problema involucró a los usuarios de Android de la aplicación, que tiene diferentes variantes con instalaciones combinadas de más de 1.5 millones de descargas en Google Play Store. Si tuvo éxito, podría haber permitido a los malos actores ingresar a diferentes cuentas, publicar videos y ver videos privados, leer los mensajes del usuario, recuperar datos de la cuenta e incluso modificar la configuración.

El ataque puede comenzar cuando un usuario hace clic en un "enlace malicioso especialmente diseñado". Según Microsoft, se hizo posible cuando se descubrió que CVE-2022-28799 permitía eludir la verificación de enlace profundo de la aplicación TikTok. "Los atacantes podrían obligar a la aplicación a cargar una URL arbitraria en la WebView de la aplicación, lo que permitiría que la URL acceda a los puentes de JavaScript adjuntos de la WebView y otorgue funcionalidad a los atacantes", explicó el equipo de investigación de Microsoft 365 Defender en su del blog.

Con esto, Microsoft alentó a los usuarios a evitar escenarios similares al observar algunas pautas de seguridad, como ignorar enlaces de fuentes no confiables, actualizar regularmente dispositivos y aplicaciones, evitar instalaciones de aplicaciones de fuentes no confiables e informar. Además, la empresa elogió la acción rápida realizada por TikTok y subrayó la importancia de la colaboración.

“Este caso muestra cómo la capacidad de coordinar la investigación y el intercambio de inteligencia de amenazas a través de la colaboración de expertos entre industrias es necesaria para mitigar los problemas de manera efectiva”, dijo Microsoft. “A medida que las amenazas entre plataformas continúan creciendo en número y sofisticación, se necesitan divulgaciones de vulnerabilidades, respuestas coordinadas y otras formas de compartir inteligencia de amenazas para ayudar a asegurar la experiencia informática de los usuarios, independientemente de la plataforma o el dispositivo en uso. Continuaremos trabajando con la comunidad de seguridad en general para compartir investigaciones e inteligencia sobre amenazas en un esfuerzo por crear una mejor protección para todos”.

A pesar de esto, los problemas causados ​​por las vulnerabilidades no son los únicos problemas de seguridad que enfrentan los usuarios de TikTok. ByteDance y TikTok tienen su reputación cuestionada por muchos debido a los informes de que el gobierno chino los utiliza para sus propias agendas. Aparte de un reporte diciendo que los empleados de TikTok accedieron repetidamente a los datos de usuarios de EE. UU. desde China, surgió una nueva preocupación después de que se descubrió que algunos Perfiles de LinkedIn de los trabajadores de TikTok muestran que están trabajando simultáneamente para los medios estatales chinos.