عثرت شركة Microsoft على ثغرة أمنية في تطبيق TikTok Android

التليفون المحمولNov 14, 2023
click fraud protection

أبلغت شركة Microsoft عن ثغرة أمنية عالية الخطورة في تطبيق TikTok Android، وهي ثغرة كان من الممكن أن تسمح للمهاجمين بالدخول إلى الحسابات بنقرة واحدة.

واجه تطبيق Android TikTok مشكلة أمنية خطيرة، وكانت شركة Microsoft هي التي أبلغت عن ذلك. قامت الشركة مؤخرًا بتفصيل النتائج لمجتمع الأمن السيبراني، مما يشير إلى أن الثغرة الأمنية عالية الخطورة كان من الممكن أن تسمح للمهاجمين باختراق الحسابات بنقرة واحدة. تم إخطار TikTok أيضًا بالمشكلة من قبل Microsoft، وتم تصحيحها منذ ذلك الحين.

أثرت هذه الثغرة الأمنية المحددة على TikTok على إصدار Android 23.7.3 والإصدارات الأقدم، وتطلبت ربط العديد من المشكلات معًا لاستغلالها، ولم يتم استخدامها بشكل عام، وفقًا لمايكروسوفت. وهذا يعني أنه من غير المحتمل أن يتأثر أحد به. يوجد في الواقع إصداران من TikTok على نظام Android، أحدهما لشرق وجنوب شرق آسيا والآخر لبقية العالم. أجرت Microsoft تقييمًا للثغرات الأمنية ووجدت أن كليهما متأثران، مما يعني أن الثغرة الأمنية وصلت إلى إجمالي 1.5 مليار عملية تثبيت.

ومع ذلك، مع وجود الثغرة الأمنية، كان من الممكن أن يكون المتسللون قد اختطفوا حساب TikTok المستند إلى Android دون معرفة المستخدم فقط إذا نقر المستخدم على رابط واحد. كان من الممكن أن يكون المهاجم قد وصل إلى ملف TikTok الشخصي المخترق، مما سمح له بمشاهدة مقاطع الفيديو الخاصة أو إرسال الرسائل أو تحميل مقاطع الفيديو.

إذًا، ما هي التفاصيل المتعلقة بكيفية استغلال المهاجم لهذه الثغرة الأمنية؟ حسنًا، وفقًا لمايكروسوفت، سمح تطبيق TikTok Android بتجاوز التحقق من الارتباط العميق للتطبيق. ربما أجبر أحد المهاجمين التطبيق على تحميل عنوان URL إلى WebView الخاص بالتطبيق. وهذا من شأنه أن يسمح للصفحة الموجودة في عنوان URL هذا بالوصول إلى جسور JavaScript الخاصة بـ WebView لمنح المتسلل المزيد من الوظائف و70 طريقة للوصول بسرعة إلى معلومات المستخدم. يمكن للمهاجم أيضًا استرداد رموز المصادقة المميزة للمستخدم عن طريق تشغيل طلب إلى خادم يتم التحكم فيه وتسجيل ملف تعريف الارتباط ورؤوس الطلب.

مايكروسوفت كتب عن مشكلة جسور جافا سكريبت هذه في الماضي، و إدخال مكافحة التطرف العنيف متاح لمزيد من التفاصيل حول ثغرة TikTok هذه. أبلغت الشركة عن المشكلة من خلال الكشف المنسق عن الثغرات الأمنية (CVD) عبر Microsoft Security Vulnerability Research (MSVR) في فبراير من عام 2022، وتم تصحيحه بواسطة TikTok بعد شهر من الكشف. ترى Microsoft أن هذا الموقف يوضح مدى أهمية تنسيق الأبحاث واستخبارات التهديدات في صناعة التكنولوجيا.

مصدر: مايكروسوفت