Territorio Móvil

El exploit de TikTok potencialmente permite a los atacantes ingresar a las cuentas de los usuarios

Los investigadores de seguridad de Microsoft informaron una vulnerabilidad bastante grande en TikTok en febrero informaron cómo la compañía anunció esto El exploit ha sido parcheado desde entonces. Foto: Cindy Ord (Getty Images) Los investigadores de seguridad revelaron que descubrieron un agujero masivo en la seguridad de TikTok, que afecta a todos los usuarios que descargaron la aplicación en dispositivos Android en todo el mundo. Pero si hay alguna indicación persistente de que los usuarios se vieron afectados por esta vulnerabilidad de seguridad de «alta gravedad», TikTok no dice nada. Los investigadores de Microsoft 365 Defender informaron el miércoles una vulnerabilidad grave en la versión de Android de la aplicación TikTok, una que podría haber permitido a los atacantes obtener acceso a todos los aspectos de una cuenta de usuario. Los investigadores dijeron que revelaron el exploit a TikTok a través de su página de informes de vulnerabilidad en febrero. Se incluyó una solución para el problema en una actualización lanzada dentro de un mes, aunque ni la compañía ni los investigadores pudieron decir cuánto tiempo había existido el exploit. Haga clic en el enlace especial. Dentro del JavaScript del sistema, aquellos con acceso podrían cambiar la información del usuario o la configuración del perfil. Cualquier mal actor podría haber hecho públicos los videos privados, enviado mensajes a amigos o extraños, o incluso subido videos a la cuenta del usuario. Aquí hay muchos problemas, pero quizás el uso más obvio sería recopilar información de la cuenta de los usuarios, incluidas contraseñas, correos electrónicos u otros datos confidenciales. Los investigadores dijeron que la vulnerabilidad fue calificada como de «gravedad alta». TikTok no respondió a las preguntas de Gizmodo sobre si sabía si los usuarios se habían visto afectados previamente por el exploit, aunque los investigadores notaron que el exploit estaba presente tanto en la versión de Asia oriental de la aplicación como en la versión de TikTok que usa el resto del mundo. , es decir, prácticamente todos los 1500 millones de personas que descargaron la popular y lucrativa aplicación de Google Play Store podrían haber sido vulnerables. G/O Media puede recibir una comisión48% de descuentoEufy BoostIQ RoboVacUna mano amigaFunciona con Alexa o el Asistente de Google, se puede controlar a través de una aplicación, aspira automáticamente la suciedad de la casa y aspira aún más fuerte cuando encuentra algo difícil, y tiene una duración de la batería de hasta 100 minutos. En una declaración, un portavoz de TikTok reiteró los puntos señalados en la publicación del blog de los investigadores de Microsoft y agregó: «A través de nuestra asociación con los investigadores de seguridad de Microsoft, descubrimos una vulnerabilidad en algunas versiones anteriores de la aplicación de Android y la solucionamos rápidamente. Agradecemos a los investigadores de Microsoft por sus esfuerzos en la identificación de problemas potenciales para que podamos solucionarlos». La compañía también hizo referencia a su página Exploit Bounty, que administra conjuntamente con HackerOne, para tratar de erradicar los exploits antes de que ocurran y tengan la oportunidad de dañar a los usuarios. . Por su parte, los investigadores agradecieron al equipo de seguridad de TikTok «por trabajar juntos de manera rápida y eficiente para resolver estos problemas». ¿Cómo funcionó todo? Esencialmente, los investigadores encontraron que TikTok tenía una vulnerabilidad en la forma en que ejecutaba solicitudes HTTP autenticadas, particularmente aquellas que habilitaban la funcionalidad de enlace profundo móvil que permite el acceso a diferentes partes de la aplicación sin tener que ingresar a la aplicación en sí. ¿Alguna vez ha accedido a una publicación de Twitter desde el correo electrónico u otra plataforma? Esto es esencialmente un enlace profundo. Si los investigadores buscaran en este código, podrían pasar por alto la verificación de enlace profundo y acceder al token de autenticación de un usuario cuando ese usuario hace clic en un enlace malicioso especial en un servidor controlado que les permite registrar cookies. El mismo servidor puede devolver una página HTML con código JavaScript que puede realizar cualquier cantidad de cambios en la cuenta. Los investigadores enfatizan particularmente el peligro que representan las interfaces de JavaScript no seguras y agregan: «Recomendamos que la comunidad de desarrolladores sea consciente de los riesgos y tome precauciones adicionales para proteger WebView». entrada del usuario cuando estaban en el navegador en la aplicación de la aplicación. TikTok negó específicamente que usó este script para registrar una tecla de uno de sus usuarios y que el código estaba allí para fines de depuración y solución de problemas de back-end.

Homeworld Mobile ya está disponible después de años de betas y pruebas
Zero To Hero en KMM con Compose y SwiftUi | de Ali Baha Abadi | septiembre 2022
Truth Social no se trata de moderación de contenido en Android
Abierta la preinscripción para Summoner’s War Chronicles
Las mejores VPN para Netflix – (septiembre de 2022)
Cómo configurar el modo de enfoque en Android e iOS
RPG Maker Unite facilita la migración de miles de juegos a dispositivos móviles
Revisión de Mazmorras Dicey
Códigos de Girls Connect: recompensas gratis y más
¿Deberías unirte a la fiesta del premio mayor?
ENTRADAS RELACIONADAS
Códigos de Egoist Awakens – Droid Gamers
DC: Dark Legion llegará a dispositivos móviles en 2024
Revisión del mago de la bola de fuego
Seguridad de Android: proteja sus compilaciones de Gradle de los malos | de Ed Holloway George | julio 2023
Unite Video Players: Compose Multiplatform para iOS, Android y Desktop | de Kashif Mehmood | julio 2023
«Kivotos en el caos cuando comienza la historia del aniversario de Blue Archive»

Deja una respuesta

Tu dirección de correo electrónico no será publicada.