Microsoft revela una vulnerabilidad en la adquisición de cuentas en TikTok

Microsoft ha revelado una vulnerabilidad en las aplicaciones móviles de TikTok para Android que podría haber sido aprovechada por piratas informáticos para tomar el control de la cuenta de alguien con un solo clic.

«Los ataques podrían haberse aprovechado de la vulnerabilidad para secuestrar inconscientemente una cuenta si el usuario objetivo simplemente hiciera clic en un enlace creado especialmente». Dice. «Los ataques pueden acceder y modificar los perfiles de TikTok de los usuarios y la información confidencial, como publicar videos privados, enviar mensajes y cargar videos en nombre de los usuarios».

Se dice que la falla estuvo presente en ambas versiones de la aplicación TikTok para Android, una para el este y sudeste de Asia y otra en otros lugares, antes de que se revelara en febrero. Microsoft dice que estas aplicaciones tienen más de 1.500 millones de descargas combinadas.

TikTok dice en la entrada de la base de datos de Mitre para CVE-2022-28799. «La URL diseñada (enlace profundo no confirmado) podría obligar a com.zhiliaoapp.musically WebView a cargar un sitio web aleatorio. Esto podría permitir que un atacante aproveche una interfaz de JavaScript adjunta para tomar el control con un solo clic».

Microsoft dice que la vulnerabilidad ha sido «arreglada y no encontramos evidencia de explotación en la naturaleza». La compañía aconseja a los usuarios de Android TikTok que se aseguren de estar usando la última versión de la aplicación. (Especialmente porque es más probable que los piratas informáticos intenten explotar la vulnerabilidad ahora que se ha anunciado con varias pruebas de concepto de Microsoft).

TikTok lanzó la versión 23.7.3 para Android el 22 de marzo, según SoftpediaLos usuarios que tienen habilitadas las actualizaciones automáticas ya deben tener instalada una versión más reciente de la aplicación. También hay disponible información adicional sobre la vulnerabilidad y cómo se puede explotar en las versiones afectadas del software a través de una publicación de blog de Microsoft. pirata informático Y el github.

READ  Las muestras de fotos y videos de Pixel 6 Pro se filtran a través de una fuente poco probable

Deja una respuesta

Tu dirección de correo electrónico no será publicada.