Así de fácil es robarte la cuenta de TikTok por culpa de un fallo de la app

Tu cuenta de TikTok corre el peligro de ser robada, y puede que ni siquiera seas consciente de ello. La gente de Microsoft ha descubierto una grave vulnerabilidad en la app de TikTok para Android (en principio, la vulnerabilidad no afecta a la versión de TikTok para iPhone) que permitiría a los atacantes robar la cuenta de un usuario a través de un solo clic.

Para poder llevar a cabo el ataque, tan solo era necesario enviar un enlace a la víctima. Dicho enlace sería creado específicamente para robar la cuenta del usuario, permitiendo al atacante acceder al perfil personal del usuario y a todo su contenido, tomando el control total de la cuenta.

Afortunadamente, Microsoft asegura que el error ya ha sido solucionado por el equipo de desarrollo de TikTok, y no se han encontrado indicios que sugieran que la vulnerabilidad ha sido explotada para llevar a cabo el robo de cuentas.

Los atacantes podían robar cuentas de TikTok con un simple enlace

Según han indicado los investigadores, la vulnerabilidad afectaba a las dos variantes de la app de TikTok para Android, tanto la dirigida al mercado asiático, como la que se distribuye en el resto del mundo.

Contando solo las descargas de la app dirigida al mercado global, obtenemos más de 1500 millones de instalaciones en todo el planeta, teniendo en cuenta la información ofrecida por Google Play. Dado que Play Store no está disponible en China, la cifra de descargas de la app dirigida a este mercado no está del todo clara, pero muy probablemente supere con creces la barrera de los mil millones.

La vulnerabilidad fue descubierta en el mes de febrero de este año, y poco después, TikTok fue informada con el objetivo de solucionar el fallo y proteger a los usuarios. La vulnerabilidad fue identificada como CVE 2022-28799.

Como explican los investigadores, todas las versiones de la app de TikTok previas a la 23.7.3 estaban afectadas por la vulnerabilidad. Su funcionamiento consistía en la creación de una URL personalizada para cada usuario, que al ejecutarse a través del WebView de Android, cargaba un sitio web arbitrario que permitía al atacante tomar la posesión de la cuenta utilizando una interfaz de JavaScript. El análisis técnico de la vulnerabilidad está disponible en la página web de Microsoft.

De cara al usuario, bastaba con hacer clic sobre la URL. Aunque, a simple vista, no sucedía nada, de fondo el atacante conseguía obtener los tokens de acceso a la cuenta y recibir o modificar los datos de la cuenta del usuario, incluyendo vídeos privados o ajustes del perfil.

Dado que la vulnerabilidad ya ha sido resuelta, es especialmente importante mantener la app de TikTok actualizada a la última versión en tu dispositivo Android, más aún ahora que los detalles de la brecha han sido expuestos, y los atacantes podrían intentar obtener acceso a las cuentas de aquellos usuarios que todavía cuenten con versiones antiguas de la aplicación.

Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.