Una falla crítica en TikTok para Android frustrada por Microsoft

Tiktok está de moda, al igual que los agujeros de seguridad. Es el caso de una última falla detectada por el equipo 365 Defender Research de Microsoft en la aplicación para Android de la red social. Descargado más de 1.500 millones de veces, este programa es un excelente campo de juego para los piratas informáticos. Para evitar tragedias, los investigadores de seguridad advirtieron a la empresa matriz Byte Dance el pasado mes de febrero sobre la vulnerabilidad, identificada desde entonces como CVE-2022-28799 y corregida por TikTok. Por lo tanto, se recomienda encarecidamente que los usuarios de esta versión comprueben que están ejecutando la versión más actualizada de esta aplicación.

La falla descubierta por Microsoft en la aplicación TikTok para Android podría haber permitido a los atacantes comprometer las cuentas de los usuarios con un solo clic. Hasta la fecha, no se ha encontrado evidencia de un exploit. “La vulnerabilidad permitió eludir la verificación de enlaces profundos de la aplicación. Los atacantes podrían obligar a la aplicación a cargar una URL arbitraria en la WebView de la aplicación, lo que permitiría que la URL acceda a los puentes de JavaScript adjuntos a la WebView y otorgue funcionalidad a los atacantes”, explica el editor. en una entrada de blog.

Buenas prácticas a seguir

La explotación de este agujero de seguridad se basa en la implementación de la aplicación de las interfaces de JavaScript proporcionadas por un componente de Android llamado WebView. “Cargar contenido web no confiable en WebView con objetos a los que se accede a través de código JavaScript hace que la aplicación sea vulnerable a la inyección de interfaz de JavaScript, lo que puede provocar fugas de datos, corrupción de datos o, en algunos casos, una ejecución de código arbitrario”, advirtieron los investigadores. Al controlar uno de los métodos capaces de realizar solicitudes HTTP autenticadas, un actor malintencionado podría haber comprometido una cuenta de usuario de TikTok.

Para protegerse contra el exploit relacionado con las interfaces de JavaScript, Microsoft brinda algunos consejos, como el uso de una lista aprobada de dominios confiables para cargar en WebView de la aplicación para evitar que se cargue contenido web malicioso o no confiable. También se especifican buenas prácticas de desarrollo:

- Use el navegador predeterminado para abrir URL que no pertenecen a la lista aprobada de la aplicación;
- Mantenga la lista aprobada y realice un seguimiento de las fechas de vencimiento de los dominios incluidos. Esto puede evitar que los atacantes secuestren WebView reclamando un dominio caducado en la lista certificada;
- Evite el uso de métodos de comparación de cadenas parciales para comparar y verificar una URL con la lista aprobada de dominios de confianza;
- Evite agregar dominios de etapa o de red interna a la lista de confianza, ya que un atacante podría falsificar estos dominios para secuestrar WebView.