Una vulnerabilidad en la aplicación TikTok para Android podría haber permitido que los atacantes se apoderaran de cualquier cuenta que hiciera clic en un enlace malicioso, lo que podría afectar a cientos de millones de usuarios de la plataforma.

Los detalles del exploit con un solo clic se revelaron en una publicación de blog de investigadores del equipo de investigación 365 Defender de Microsoft. La vulnerabilidad fue revelada a TikTok por Microsoft y desde entonces ha sido parcheada.

El error y su ataque resultante, etiquetado como “vulnerabilidad de alta gravedad“, podrían haberse utilizado para secuestrar la cuenta de cualquier usuario de TikTok en Android sin su conocimiento, una vez que hicieron clic en un enlace especialmente diseñado. Después de hacer clic en el enlace, el atacante tendría acceso a todas las funciones principales de la cuenta, incluida la capacidad de cargar y publicar videos, enviar mensajes a otros usuarios y ver videos privados almacenados en la cuenta.

El impacto potencial fue enorme, ya que afectó a todas las variantes globales de la aplicación Android TikTok, que tiene un total de más de 1500 millones de descargas en Google Play Store. Sin embargo, no hay evidencia de que haya sido explotado por malos actores.

“A través de nuestra asociación con investigadores de seguridad de Microsoft, descubrimos y solucionamos rápidamente una vulnerabilidad en algunas versiones anteriores de la aplicación de Android”, dijo la portavoz de TikTok, Maureen Shanahan. “Apreciamos a los investigadores de Microsoft por sus esfuerzos para ayudar a identificar problemas potenciales para que podamos resolverlos”.

Microsoft confirmó que TikTok respondió rápidamente al informe. “Les dimos información sobre la vulnerabilidad y colaboramos para ayudar a solucionar este problema”, dijo Tanmay Ganacharya, director asociado de investigación de seguridad en Microsoft Defender para Endpoint. “TikTok respondió rápidamente y elogiamos la resolución eficiente y profesional del equipo de seguridad”.

Según los detalles publicados en la publicación del blog, la vulnerabilidad afectó la funcionalidad de enlace profundo de la aplicación de Android. Este manejo de enlaces profundos le dice al sistema operativo que permita que ciertas aplicaciones procesen los enlaces de una manera específica, como abrir la aplicación de Twitter para seguir a un usuario después de hacer clic en el botón HTML “Seguir esta cuenta” incrustado en una página web.

Este manejo de enlaces también incluye un proceso de verificación que debería restringir las acciones realizadas cuando una aplicación carga un enlace determinado. Pero los investigadores encontraron una manera de eludir este proceso de verificación y ejecutar una serie de funciones potencialmente armables dentro de la aplicación.

Una de estas funciones les permite recuperar un token de autenticación vinculado a una determinada cuenta de usuario, otorgando efectivamente acceso a la cuenta sin necesidad de ingresar una contraseña. En un ataque de prueba de concepto, los investigadores crearon un enlace malicioso que, cuando se hacía clic, cambiaba la biografía de una cuenta de TikTok para que dijera “VIOLACIÓN DE SEGURIDAD“.

Afortunadamente, se detectó la vulnerabilidad y Microsoft aprovechó la oportunidad para enfatizar la importancia de la colaboración y la coordinación entre las plataformas tecnológicas y los proveedores.

“A medida que las amenazas entre plataformas continúan creciendo en número y sofisticación, se necesitan divulgaciones de vulnerabilidades, respuestas coordinadas y otras formas de compartir inteligencia de amenazas para ayudar a proteger la experiencia informática de los usuarios, independientemente de la plataforma o el dispositivo en uso”, escribió Dimitrios Valsamaras de Microsoft en la publicación del blog. “Seguiremos trabajando con la comunidad de seguridad en general para compartir investigaciones e inteligencia sobre amenazas en un esfuerzo por crear una mejor protección para todos”.

Aunque no se sabe que la aplicación TikTok haya sufrido ningún ataque importante hasta el momento, algunos críticos la han calificado como un riesgo de seguridad por otras razones.

Recientemente, han surgido preocupaciones sobre la medida en que los ingenieros con sede en China en ByteDance, la empresa matriz de TikTok, pueden acceder a los datos de los usuarios estadounidenses. En julio, los líderes del Comité de Inteligencia del Senado pidieron a la presidenta de la FTC, Lina Khan, que investigara TikTok después de que los informes cuestionaran las afirmaciones de que los datos de los usuarios estadounidenses estaban aislados de la sucursal china de la empresa.