Falla en TikTok para Android podría permitir el secuestro de cuentas

Microsoft detalló una falla de alta gravedad en la aplicación TikTok para Android, que podría permitir a un atacante secuestrar una cuenta cuando los usuarios hacen clic en un enlace. Afortunadamente, los desarrolladores de la matriz de TikTok, ByteDance, corrigieron rápidamente la falla después de que los investigadores de Microsoft le informaron el problema en […]

Microsoft detalló una falla de alta gravedad en la aplicación TikTok para Android, que podría permitir a un atacante secuestrar una cuenta cuando los usuarios hacen clic en un enlace.

Afortunadamente, los desarrolladores de la matriz de TikTok, ByteDance, corrigieron rápidamente la falla después de que los investigadores de Microsoft le informaron el problema en febrero a través de su programa de recompensas por errores, según Dimitrios Valsamaras, investigador del Equipo de investigación de Microsoft 365 Defender.

Al error ahora se le ha asignado el identificador CVE-2022-28799 y, aunque está solucionado, Microsoft insta a todos los usuarios de TikTok en Android a actualizar la aplicación a la última versión.

Consiste en una falla en la interfaz de JavaScript expuesta de la aplicación que podría explotarse a través de un componente WebView de la app.

TikTok para Android se ha descargado 1.500 millones de veces desde la tienda Google Play

WebView es un componente de Android que permite que las aplicaciones, que están escritas en el lenguaje de programación Java y Kotlin compatible con Java, muestren contenido web.

“La aplicación TikTok anterior a 23.7.3 para Android permite la toma de control de la cuenta… Esto puede permitir que un atacante aproveche una interfaz de JavaScript adjunta para la toma de control con un solo clic”, se lee en la entrada MITRE para CVE-2022-28799.

Hay dos versiones de la aplicación TikTok para Android. Una (con el nombre de paquete com.ss.android.ugc.trill) que es para el este y sudeste de Asia y otro (con el nombre de paquete com.zhiliaoapp.musically) que es para las otras regiones. Ambos contenían la vulnerabilidad.

La vulnerabilidad se deriva de la forma en que los desarrolladores de TikTok implementaron las interfaces de JavaScript de la aplicación en WebView. La interfaz puede proporcionar “funcionalidad de puente”, de modo que el código JavaScript en una página web invoque métodos Java específicos de una clase particular en la aplicación.

“Cargar contenido web no confiable en WebView con objetos de nivel de aplicación accesibles a través de código JavaScript hace que la aplicación sea vulnerable a la inyección de interfaz de JavaScript, lo que puede provocar fugas de datos, corrupción de datos o, en algunos casos, ejecución de código arbitrario”, explican.

Sin embargo, la vulnerabilidad real está en cómo la aplicación TikTok maneja un “enlace profundo” particular en Android. Los desarrolladores pueden usar enlaces profundos para vincular a un componente elegido dentro de una aplicación. Cuando los usuarios hacen clic en un enlace profundo, el administrador de paquetes de Android verifica todas las aplicaciones instaladas para ver cuál puede responder al enlace profundo y luego lo enruta a la empresa declarada como su controlador.

“Mientras revisábamos el manejo de la aplicación de un enlace profundo específico, descubrimos varios problemas que, cuando se encadenaron, podrían haberse utilizado para obligar a la aplicación a cargar una URL arbitraria en la WebView de la aplicación”, escribe Valsamaras.

Microsoft encontró “más de 70 métodos expuestos” al verificar la funcionalidad accesible para el código JavaScript en las páginas web cargadas en WebView. La combinación de la vulnerabilidad con los métodos expuestos puede brindar a los atacantes una funcionalidad adicional para ver y cambiar los datos privados de los usuarios.

Al invocar estos métodos, el atacante puede capturar los tokens de autenticación del usuario activando una solicitud a un servidor controlado y registrando la cookie y los encabezados de la solicitud. El atacante también puede recuperar o modificar los datos de la cuenta TikTok del usuario, como videos privados y configuraciones de perfil.

“En resumen, al controlar cualquiera de los métodos capaces de realizar solicitudes HTTP autenticadas, un actor malicioso podría haber comprometido una cuenta de usuario de TikTok”.