Microsoft dijo el miércoles que recientemente identificó una vulnerabilidad en la aplicación de Android de TikTok que podría permitir a los atacantes secuestrar cuentas cuando los usuarios no hacen más que hacer clic en un solo enlace erróneo. El fabricante de software dijo que notificó a TikTok sobre la vulnerabilidad en febrero y, desde entonces, la compañía de redes sociales con sede en China corrigió la falla, que se identifica como CVE-2022-28799.
La vulnerabilidad residía en la forma en que la aplicación buscaba los llamados enlaces profundos, que son hipervínculos específicos de Android para acceder a componentes individuales dentro de una aplicación móvil. Los enlaces profundos deben declararse en el manifiesto de una aplicación para su uso fuera de la aplicación. Entonces, por ejemplo, alguien que hace clic en un enlace de TikTok en un navegador ve que el contenido se abre automáticamente en la aplicación TikTok.
Una aplicación también puede declarar criptográficamente la validez de un dominio URL. TikTok en Android, por ejemplo, declara el dominio m.tiktok.com. Normalmente, la aplicación TikTok permite cargar contenido de tiktok.com en su componente WebView, pero no permite que WebView cargue contenido de otros dominios.
«La vulnerabilidad permitió eludir la verificación de enlace profundo de la aplicación», escribieron los investigadores. «Los atacantes podrían obligar a la aplicación a cargar una URL arbitraria en la vista web de la aplicación, lo que permitiría que la URL acceda a los puentes de JavaScript adjuntos a la vista web y otorgue funcionalidad a los atacantes».
Luego, los investigadores crearon un exploit de prueba de concepto que hizo exactamente eso. Implicaba enviar a un usuario de TikTok objetivo un enlace malicioso que, al hacer clic, obtenía los tokens de autenticación que los servidores de TikTok necesitan para que los usuarios demuestren la propiedad de su cuenta. El enlace PoC también cambió la biografía del perfil del usuario objetivo para mostrar el texto «¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡
«Una vez que el usuario objetivo de TikTok hace clic en el enlace malicioso especialmente diseñado por el atacante, el servidor del atacante, https://www.attacker[.]com/poc, tiene acceso completo al puente de JavaScript y puede invocar cualquier funcionalidad expuesta”, escribieron los investigadores. “El servidor del atacante devuelve una página HTML que contiene código JavaScript para devolver tokens de descarga de video al atacante, así como para modificar al usuario. biografía de perfil».
Microsoft dijo que no tenía evidencia de que la vulnerabilidad se estuviera explotando activamente en la naturaleza.