Vulnerabilidad en TikTok abrió puerta a secuestro de cuentas

Estado Unidos | 2022-09-02


Microsoft detectó una vulnerabilidad en la versión para Android de la aplicación TikTok. El fallo pudo haber dado acceso a los ciberdelincuentes al sistema y así comprometer y secuestrar las cuentas de los usuarios.

La compañía de Redmond comunicó este error de seguridad a TikTok en febrero y la plataforma "respondió rápidamente" lanzando una solución para abordar la vulnerabilidad informada.

No hay registro de que nadie se haya aprovechado de esta vulnerabilidad para cometer ataques contra los usuarios de TikTok y que la haya explotado a su favor. La compañía tecnológica ha recordado que TikTok dispone de dos versiones de la aplicación, una para el este y sudeste de Asia y otra para el resto de países. Al realizar una evaluación de vulnerabilidades, comprobó que el problema afectaba a ambas versiones.

Concretamente, este error, que fue registrado con la denominación CVE-2022-28799, permitía a los atacantes omitir la verificación de enlace profundo ('deeplink') de la aplicación de contenido. Gracias a esto, los ciberdelincuentes podrían haber forzado a la red social a cargar una URL en el componente WebView de la aplicación, para poder así visualizar páginas web internas.