La plataforma de redes sociales para compartir videos TikTok ha corregido una vulnerabilidad potencialmente peligrosa en su aplicación que podría haber permitido que un actor malicioso vea y monitoree la actividad de los usuarios en dispositivos móviles y de escritorio.
Descubierto por los equipos rojos que trabajan en Imperva, un proveedor de ofertas de protección de datos, el error fue causado por un controlador de eventos de mensajes de ventana que no validó correctamente el origen de los mensajes, lo que le dio a los atacantes acceso a información confidencial del usuario, explicó el investigador Ron Masas.
“En los últimos años, las aplicaciones web se han vuelto cada vez más complejas y los desarrolladores aprovechan varias API [application programming interfaces] y mecanismos de comunicación para mejorar la funcionalidad y la experiencia del usuario”, dijo.
“Un área que nos ha llamado la atención son los controladores de eventos de mensajes. Según nuestra experiencia, estos controladores a menudo se pasan por alto como posibles fuentes de vulnerabilidades de seguridad, aunque manejen entradas de fuentes externas”.
En este caso, el problema residía en PostMessage o API de mensajería web HTML5. Este es un mecanismo de comunicación que permite que diferentes ventanas o iframes realicen comunicaciones entre orígenes de forma segura en una aplicación web.
Esto permite que scripts de distintos orígenes intercambien mensajes para superar las restricciones impuestas por las políticas del mismo origen, que limitan el intercambio de datos entre diferentes fuentes.
Masas y su equipo encontraron una secuencia de comandos en la aplicación web de TikTok utilizada para el seguimiento de usuarios, que contenía un controlador de eventos de mensajes que se usa para procesar ciertos mensajes entrantes para un sistema de almacenamiento en caché del lado del cliente.
Sin embargo, descubrieron que este controlador de eventos de mensajes no estaba validando correctamente el origen de los mensajes entrantes, lo que significa que podría ser vulnerable a la explotación por parte de los actores de amenazas. Además, encontraron que el controlador devolvió información confidencial del usuario en respuesta a estos mensajes.
“Al explotar esta vulnerabilidad, los atacantes podrían enviar mensajes maliciosos a la aplicación web TikTok a través de la API PostMessage, sin pasar por las medidas de seguridad”, dijo Masas.
“El controlador de eventos del mensaje luego procesaría el mensaje malicioso como si viniera de una fuente confiable, otorgando al atacante acceso a información confidencial del usuario”.
Los datos expuestos por este método podrían haber incluido información sobre el dispositivo de la víctima, como el tipo de dispositivo, el sistema operativo y los detalles del navegador; qué videos habían visto y por cuánto tiempo; la información de su cuenta, incluido el nombre de usuario, los videos subidos y otros detalles; y consultas de búsqueda que habían ingresado en TikTok.
Esta información podría haberse utilizado para fines como ataques de phishing dirigidos, robo de identidad o incluso chantaje y, por lo tanto, la vulnerabilidad podría haber resultado inmensamente valiosa para un ciberdelincuente.
“El equipo rojo de Imperva notificó a TikTok sobre la vulnerabilidad, que se solucionó de inmediato. Nos gustaría agradecer a TikTok por su rápida respuesta y cooperación”, dijo Masas. “Fue un privilegio trabajar junto con el equipo de seguridad de TikTok para ayudar a hacer de TikTok una plataforma más segura para sus usuarios.
“Esta divulgación sirve como un recordatorio de la importancia de la validación adecuada del origen del mensaje y los riesgos potenciales de permitir la comunicación entre dominios sin las medidas de seguridad adecuadas”, agregó.
Preocupaciones en curso
Aunque la vulnerabilidad se solucionó, aparentemente sin incidentes, el problema es el último de una larga lista de problemas de privacidad de datos que han resultado en un mayor escrutinio de TikTok en todo el mundo, e incluso ha llevado a la prohibición del servicio en el gobierno oficial del Reino Unido. dispositivos, así como acciones similares en otros países.
Aunque muchas de estas preocupaciones de privacidad se relacionan con los supuestos vínculos entre la organización matriz de TikTok, ByteDance, y el gobierno autoritario chino, esta no es la primera vez que se revela una vulnerabilidad que podría ser útil para los ciberdelincuentes en el servicio.
El otoño pasado, Microsoft destacó una vulnerabilidad rastreada como CVE-2022-28799, que podría haber permitido a los actores de amenazas secuestrar cuentas, ver y publicitar TikToks privados, enviar mensajes y cargar contenido nuevo.
Esta vulnerabilidad existía en la forma en que la aplicación de Android de TiKTok manejaba un tipo específico de hipervínculo, lo que permitía al equipo de investigación de Microsoft eludir su mecanismo de verificación de enlaces e introducir un enlace malicioso en el componente WebView que alimenta el navegador de la aplicación en TikTok.
Microsoft no descubrió evidencia de que CVE-2022-28799 haya sido alguna vez explotado.