Hackear una cuenta de TikTok era tan fácil como pulsar un link

Microsoft ha descubierto una vulnerabilidad de gravedad alta en la aplicación TikTok para Android, ya que puede permitir a un atacante comprometer la cuenta de otro usuario con un solo clic.

La vulnerabilidad ha sido corregida y no se ha encontrado ninguna evidencia de que se haya sido explotada.

Los atacantes podrían haber aprovechado la vulnerabilidad para hacerse con una cuenta de TikTok sin que el dueño legítimo se diera cuenta, simplemente dirigiendo al usuario a pulsar sobre un enlace especialmente diseñado.

Los atacantes podrían haber accedido y modificado los perfiles de TikTok de los usuarios y su información sensible, por ejemplo, publicando vídeos privados, enviando mensajes y subiendo vídeos en nombre de los usuarios.

La vulnerabilidad permitía eludir la verificación de enlaces profundos de la aplicación. Los atacantes podían forzar la aplicación a cargar una URL arbitraria en la aplicación, dando acceso a la cuenta a los atacantes.

TikTok tiene dos versiones de su aplicación para Android: una para Asia y otra para el resto de países. Los problemas afectaban a ambas versiones de la app para Android, que tienen más de 1.500 millones de instalaciones combinadas a través de Google Play Store.

Un investigador de seguridad de Microsoft notificó a TikTok de los problemas en febrero de 2022. TikTok respondió rápidamente publicando una corrección para abordar la vulnerabilidad reportada, ahora identificada como CVE-2022-28799.