Tik Tok ha corregido cuatro errores de seguridad en su aplicación de Android que podrían haber llevado al secuestro de cuentas de usuario.
Las vulnerabilidades, descubiertas por la startup de seguridad de aplicaciones Oversecured, podrían haber permitido que una aplicación maliciosa en el mismo dispositivo robara archivos confidenciales, como tokens de sesión, desde dentro de la aplicación TikTok. Los tokens de sesión son pequeños archivos que mantienen al usuario conectado sin tener que volver a ingresar sus contraseñas. Pero si se roban, estos tokens pueden dar acceso a un atacante a la cuenta de un usuario sin necesidad de su contraseña.
La aplicación maliciosa tendría que aprovechar las vulnerabilidades para inyectar un archivo malicioso en la aplicación TikTok vulnerable. Una vez que el usuario abre la aplicación, el archivo malicioso se activa, permitiendo que la aplicación maliciosa acceda y envíe tokens de sesión robados al servidor del atacante silenciosamente en segundo plano.
Sergey Toshin, fundador de Oversecured, le dijo a TechCrunch que la aplicación maliciosa también podría secuestrar los permisos de la aplicación de TikTok, permitiéndole acceder a Android. la cámara, el micrófono y los datos privados del dispositivo, como fotos y videos.
Oversegured publicó los detalles técnicos de los errores en su sitio web.
TikTok dijo que solucionó los errores a principios de este año después de que Oversecured informara las vulnerabilidades.
“Como parte de nuestros esfuerzos continuos para construir la plataforma más segura y protegida de la industria, trabajamos constantemente con terceros para encontrar y corregir errores”, dijo la portavoz de TikTok, Hilary McQuaide. “Si bien los errores en cuestión solo supondrían un riesgo si un usuario también hubiera descargado una aplicación maliciosa en su dispositivo Android, los hemos solucionado. Agradecemos que el investigador nos informe de este problema para que podamos solucionarlo, y alentamos a todos nuestros usuarios a descargar la última versión de la aplicación “.
Las noticias de los errores llegan pocos días antes de que entre en vigencia una prohibición anticipada de TikTok. La administración Trump declaró a principios de este año que la aplicación para compartir videos era una amenaza para la seguridad nacional por sus vínculos con China.
ByteDance, la empresa matriz de TikTok con sede en Beijing, ha negado las afirmaciones y ha demandado al gobierno federal para impugnar las acusaciones.
TikTok, que no es accesible en China, dijo que “nunca había proporcionado datos de usuario al gobierno chino, ni lo haríamos si nos lo pidieran”.
Source link