Las vulnerabilidades de TikTok te permitieron capturar la cuenta de otra persona con un solo clic

Los desarrolladores de TikTok han abordado dos vulnerabilidades que permitían capturar las cuentas de los usuarios registrados a través de aplicaciones de terceros.

Las vulnerabilidades eran un error reflejado en el XSS asociado al dominio de la compañía, lo que llevó a un conjunto completo de cuentas.

Las vulnerabilidades fueron reportadas por el investigador del IB Muhammed Taskiran, a través del programa oficial de recompensas por errores de la compañía en la plataforma HackerOne.

El primer problema fue con el parámetro URL en el dominio tiktok.com y m.tiktok.com, que no fue limpiado correctamente. Este problema podría haber sido utilizado para ejecutar código malicioso dentro de la sesión del navegador de un usuario.

El experto también descubrió que el punto final de la API de TikTok es vulnerable a los ataques de CSRF, que permiten cambiar las contraseñas de las cuentas de los usuarios que se han registrado en una aplicación de terceros.

Combiné estas vulnerabilidades para crear un simple peilode de JavaScript (que provoca el CSRF que previamente había incrustado en el parámetro de URL vulnerable) que permitía capturar las cuentas con un solo clic.

El investigador notificó el problema a los desarrolladores de TikTok a finales de agosto de este año, y la compañía publicó parches para los bichos detectados a finales de septiembre.

Al investigador también se le pagó una recompensa por el bicho por la cantidad de 3.860 dólares.

¿Quieres conseguir 4.000 dólares por un error en TikTok?
Sí.No.
No me gustó.
0
Interesante.
1
Genial.
1
Añade un comentario