Mientras el mundo está ocupado disfrutando de la locura por la aplicación TikTok, los usuarios de la famosa plataforma para compartir videos no tienen idea de que casi son víctimas a una vulnerabilidad que podría haber permitido a los malhechores violar sus cuentas hace meses. Afortunadamente, se evitó antes de que los malos actores lo notaran después de que Microsoft lo informara a TikTok, que lo resolvió de inmediato.
Microsoft detectó la vulnerabilidad etiquetada como”CVE-2022-28799″y la informó a TikTok en febrero pasado a través de su Divulgación de vulnerabilidad coordinada (CVD) a través de Microsoft Security Vulnerability Research (MSVR). Según el gigante tecnológico, el problema tenía un estado de gravedad alto con una puntuación de 8,3.
Aunque no se encontró evidencia de que CVE-2022-28799 fuera explotado en la naturaleza, la vulnerabilidad puso a miles de millones de usuarios de TikTok cuentas en peligro. Específicamente, el problema involucró a los usuarios de Android de la aplicación, que tiene diferentes variantes con instalaciones combinadas de más de 1.500 millones de descargas en Google Play Store. Si tuvo éxito, podría haber permitido a los malos actores ingresar a diferentes cuentas, publicar videos y ver los privados, leer los mensajes del usuario, recuperar datos de la cuenta e incluso modificar la configuración.
Un ejemplo de una cuenta TikTok comprometida compartida por Microsoft.
El ataque puede comenzar cuando un usuario hace clic en un”enlace malicioso especialmente diseñado”. Según Microsoft, se hizo posible cuando se descubrió que CVE-2022-28799 permitía eludir la verificación de enlace profundo de la aplicación TikTok.”Los atacantes podrían obligar a la aplicación a cargar una URL arbitraria en WebView de la aplicación, lo que permitiría que la URL acceda a los puentes de JavaScript adjuntos de WebView y otorgue funcionalidad a los atacantes”, explicó el equipo de investigación de Microsoft 365 Defender en su entrada de blog.
Con esto, Microsoft alentó a los usuarios a evitar escenarios similares al observar algunas pautas de seguridad, como ignorar enlaces de fuentes no confiables, actualizar regularmente dispositivos y aplicaciones, evitar instalaciones de aplicaciones de fuentes no confiables e informar. Además, la compañía elogió la acción rápida realizada por TikTok y subrayó la importancia de la colaboración.
“Este caso muestra cómo la capacidad de coordinar la investigación y el intercambio de inteligencia sobre amenazas a través de la colaboración experta entre industrias es necesaria para lograr de manera efectiva mitigar los problemas”, dijo Microsoft. “A medida que las amenazas entre plataformas continúan creciendo en número y sofisticación, se necesitan divulgaciones de vulnerabilidades, respuestas coordinadas y otras formas de compartir inteligencia de amenazas para ayudar a proteger la experiencia informática de los usuarios, independientemente de la plataforma o el dispositivo en uso. Continuaremos trabajando con la comunidad de seguridad en general para compartir investigaciones e inteligencia sobre amenazas en un esfuerzo por crear una mejor protección para todos”.
A pesar de esto, los problemas causados por las vulnerabilidades no son los únicos problemas de seguridad que se están que enfrentan los usuarios de TikTok. ByteDance y TikTok tienen su reputación cuestionada por muchos debido a los informes de que el gobierno chino los utiliza para sus propias agendas. Aparte de un informe que dice que los empleados de TikTok accedieron repetidamente a la Datos de usuarios estadounidenses de China, surgió una nueva preocupación después de que se descubriera que algunos perfiles de LinkedIn de trabajadores de TikTok muestran que trabajan simultáneamente para los medios estatales chinos.
