Un defecto en la aplicación de TikTok para Android permitía el robo de una cuenta con un solo clic. La vulnerabilidad fue descubierta por el equipo de investigación de Microsoft. Como suele ocurrir en estos casos, aunque el problema fue hecho público recientemente, la información fue provista a la compañía hace tiempo y ya se han hecho las correcciones necesarias.
Un enlace especialmente diseñado permitía al agresor acceder a todas las funciones principales de la cuenta. Esto incluye publicar videos, enviar mensajes y ver el contenido privado.
Afortunadamente nada parece indicar que la vulnerabilidad haya sido aprovechada por un grupo criminal. Microsoft también destacó que la respuesta de TikTok fue extremadamente rápida. Una vez que se informó de lo ocurrido las empresas colaboraron para encontrar la solución.
Un enlace a medida
El enlace maligno aprovechaba la función de enlace profundo de la aplicación de Android. Esta opción permite procesar los enlaces de formas específicas. Esto es, los liga a ciertas aplicaciones o servicios. Entre los procesos que incluye a menudo está la verificación de qué acciones le son permitidas a una aplicación.
Los investigadores de Microsoft descubrieron que una de las posibilidades que podía conseguirse con un enlace preparado era el acceso a la cuenta sin la necesidad de introducir la contraseña.
El riesgo de la popularidad
La aplicación de TikTok ha sido descargada más de 3 mil millones de veces. En septiembre de 2021 superó los mil millones de usuarios. Por lo dicho cualquier problema de seguridad en esta red social resulta muy tentador para los grupos de criminales informáticos.
