Microsoft rapporterede en alvorlig sårbarhed i TikTok Android-appen, en der kunne have ladet angribere komme ind på konti med et enkelt klik.
Android TikTok-appen havde et alvorligt sikkerhedsproblem, og Microsoft var den, der rapporterede det. Virksomheden detaljerede for nylig resultaterne for cybersikkerhedssamfundet, hvilket indikerer, at den høje sårbarhed kunne have gjort det muligt for angribere at kompromittere konti med et enkelt klik. TikTok blev også underrettet om problemet af Microsoft, og det er siden blevet rettet.
Denne specifikke sårbarhed påvirkede TikTok på Android version 23.7.3 og lavere, krævede flere problemer, der skulle kædes sammen for at udnytte, og blev ikke brugt i naturen, ifølge Microsoft. Det betyder, at ingen sandsynligvis er blevet påvirket af det. Der er faktisk to versioner af TikTok på Android, en til Øst- og Sydøstasien og en anden til resten af verden. Microsoft udførte en sårbarhedsvurdering og fandt, at begge var påvirket, hvilket betyder, at sårbarheden ramte i alt 1,5 milliarder installationer.
Med sårbarheden kunne hackere dog have kapret en Android-baseret TikTok-konto, uden at brugeren vidste, bare hvis brugeren klikkede på et enkelt link. Angriberen kunne have tilgået den kompromitterede TikTok-profil og ladet dem se private videoer, sende beskeder eller uploade videoer.
Så hvad er specifikationerne for, hvordan denne sårbarhed kunne have været brugt af en angriber? Nå, ifølge Microsoft tillod TikTok Android-appen, at appens deeplink-bekræftelse blev omgået. En angriber kunne have tvunget appen til at indlæse en URL til appens WebView. Dette ville så have givet siden i den URL adgang til WebView's JavaScript-broer for at give en hacker mere funktionalitet og 70 måder til hurtigt at få adgang til en brugers oplysninger. Angriberen kunne også have hentet brugerens godkendelsestokens ved at udløse en anmodning til en kontrolleret server og logge cookien og anmodningsheaderne.
Microsoft skrev om netop dette JavaScript-broer-problem i fortiden, og en CVE-indgang er tilgængelig for flere detaljer om denne TikTok-sårbarhed. Virksomheden rapporterede problemet gennem Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR) i februar 2022, og den blev rettet af TikTok en måned efter offentliggørelsen. Microsoft mener, at denne situation er en, der viser, hvor vigtigt det er at koordinere forskning og trusselsintelligens i teknologiindustrien.
Kilde: Microsoft