Una falla detectada en TikTok podría haber permitido a piratas informáticos secuestrar las cuentas de los usuarios de la aplicación de videos cortos con un solo clic, acceder a los perfiles y hasta tomar control de todo lo referido al perfil del tiktoker, como subir videos, borrarlos y enviar mensajes privados.
Según informaron este miércoles investigadores de Microsoft, la falla de seguridad, identificada como CVE-2022-28799, afectó a quienes tienen instalada la aplicación en sistemas operativos Android.
El fallo alteró la forma en que TikTok programaba lo que se conoce como deeplinking, una función de Android que permite a las aplicaciones manejar los enlaces dentro de las plataformas. El deeplinking se utiliza cuando, por ejemplo, una aplicación se abre automáticamente después de que el usuario haya hecho clic en un botón dentro de Chrome.
Enlazar en profundidad (en inglés, deep linking) consiste en hacer un hiperenlace que lleva un contenido específico sin tener que pasar por la entrada principal. Los enlaces de ese tipo se denominan enlaces profundos (deep links).
Su objetivo es ofrecer una mejor experiencia de usuario reduciendo los pasos a realizar para acceder a un contenido o servicio. Por ejemplo, es mucho más cómodo para el usuario acceder directamente a la pantalla de una promoción tras hacer click sobre una publicidad que tener que navegar hasta encontrarla.
Enlace profundo – Wikipedia, la enciclopedia libre
Los ingenieros de la división de investigaciones de vulnerabilidades de Microsoft descubrieron que el error permitía eludir el proceso de verificación de deeplinks de TikTok. De esa manera, los atacantes podían forzar la aplicación y mediante la ejecución de algunos comandos acceder al control de la cuenta.
Una vez con el control de la cuenta, los hackers podrían haber utilizado esta falla para subir videos y enviar mensajes en nombre de los usuarios, así como acceder a información sensible, como clips privados o directamente cerrar la cuenta.
A pesar de que la vulnerabilidad no era especialmente sencilla -requeriría que los atacantes descubrieran varios agujeros en el código y ejecutaran diferentes comandos-, caer en la trampa sí lo era: con solo un clic en un enlace malicioso los tiktokers podrían perder el control y acceso a su cuenta.
Microsoft no dio detalles sobre el alcance final de la vulnerabilidad al no haber encontrado pruebas suficientes ni denuncias graves de usuarios afectados específicamente con la falla CVE-2022-28799. Por su parte, TikTok tampoco hizo comentarios al respecto.
![Las olas se levantan bajo un cielo oscuro a lo largo de la costa de Batabano, Cuba, el 26 de septiembre cuando se acerca el huracán Ian [Ramón Espinosa / AP Photo]](https://papersnoticias.com/wp-content/uploads/2022/09/cuba-huracan-ian-390x220.webp)
