Microsoft oznámil velmi závažnou zranitelnost v aplikaci TikTok pro Android, která mohla útočníkům umožnit dostat se do účtů jedním kliknutím.
Aplikace Android TikTok měla vážný bezpečnostní problém a společnost Microsoft to oznámila. Společnost nedávno podrobně popsala zjištění pro komunitu kybernetické bezpečnosti, což naznačuje, že vysoce závažná zranitelnost mohla útočníkům umožnit kompromitovat účty jediným kliknutím. TikTok byl na problém upozorněn také společností Microsoft a od té doby byl opraven.
Tato specifická zranitelnost ovlivnila TikTok na Androidu verze 23.7.3 a nižší, podle Microsoftu vyžadovala zřetězení několika problémů dohromady a nebyla použita ve volné přírodě. To znamená, že to pravděpodobně nikoho nepostihlo. Ve skutečnosti existují dvě verze TikTok pro Android, jedna pro východní a jihovýchodní Asii a druhá pro zbytek světa. Společnost Microsoft provedla posouzení zranitelnosti a zjistila, že obě byly ovlivněny, což znamená, že zranitelnost zasáhla celkem 1,5 miliardy instalací.
Díky této zranitelnosti by však hackeři mohli unést účet TikTok založený na Androidu, aniž by uživatel věděl, zda uživatel klikl na jediný odkaz. Útočník mohl získat přístup k ohroženému profilu TikTok a umožnit mu vidět soukromá videa, odesílat zprávy nebo nahrávat videa.
Jaká jsou tedy specifika toho, jak mohl tuto chybu zabezpečení využít útočník? No, podle Microsoftu umožnila aplikace TikTok pro Android obejít ověření aplikace pomocí přímých odkazů. Útočník mohl přinutit aplikaci, aby načetla adresu URL do WebView aplikace. To by pak umožnilo stránce na této adrese URL přistupovat k JavaScriptovým mostům WebView, což by hackerovi poskytlo více funkcí a 70 způsobů, jak rychle získat přístup k informacím uživatele. Útočník mohl také získat ověřovací tokeny uživatele spuštěním požadavku na kontrolovaný server a protokolováním souboru cookie a záhlaví požadavků.
Microsoft napsal o tomto problému s mosty JavaScript v minulosti a záznam CVE je k dispozici pro další podrobnosti o této chybě zabezpečení TikTok. Společnost ohlásila problém prostřednictvím Coordinated Vulnerability Disclosure (CVD) prostřednictvím Microsoft Security Vulnerability Research (MSVR) v únoru 2022 a byl opraven společností TikTok měsíc po zveřejnění. Microsoft se domnívá, že tato situace ukazuje, jak důležité je koordinovat výzkum a zpravodajství o hrozbách v technologickém průmyslu.
Zdroj: Microsoft