Microsoft hat eine Sicherheitslücke mit hohem Schweregrad in der TikTok-Android-App gemeldet, die es Angreifern ermöglicht hätte, mit einem Klick auf Konten zuzugreifen.
Bei der Android-TikTok-App gab es ein ernstes Sicherheitsproblem, und Microsoft war derjenige, der es gemeldet hat. Das Unternehmen hat kürzlich die Ergebnisse für die Cybersicherheits-Community detailliert dargelegt und darauf hingewiesen, dass die Sicherheitslücke mit hohem Schweregrad es Angreifern ermöglicht haben könnte, Konten mit einem einzigen Klick zu kompromittieren. TikTok wurde ebenfalls von Microsoft über das Problem informiert und es wurde inzwischen gepatcht.
Diese spezifische Sicherheitslücke betraf TikTok auf Android-Version 23.7.3 und niedriger, erforderte die Verkettung mehrerer Probleme zur Ausnutzung und wurde laut Microsoft nicht in freier Wildbahn genutzt. Dies bedeutet, dass wahrscheinlich niemand davon betroffen war. Tatsächlich gibt es zwei Versionen von TikTok für Android, eine für Ost- und Südostasien und eine für den Rest der Welt. Microsoft führte eine Schwachstellenbewertung durch und stellte fest, dass beide davon betroffen waren, was bedeutet, dass die Schwachstelle insgesamt 1,5 Milliarden Installationen betraf.
Mit der Sicherheitslücke hätten Hacker jedoch ein Android-basiertes TikTok-Konto kapern können, ohne dass der Benutzer wusste, ob er auf einen einzelnen Link geklickt hat. Der Angreifer könnte auf das manipulierte TikTok-Profil zugegriffen und ihm so ermöglicht haben, private Videos anzusehen, Nachrichten zu senden oder Videos hochzuladen.
Was sind also die Einzelheiten dazu, wie diese Sicherheitslücke von einem Angreifer ausgenutzt werden könnte? Nun, laut Microsoft ermöglichte die TikTok-Android-App die Umgehung der Deeplink-Verifizierung der App. Ein Angreifer hätte die App zwingen können, eine URL in die WebView der App zu laden. Dadurch hätte die Seite in dieser URL dann auf die JavaScript-Brücken von WebView zugreifen können, um einem Hacker mehr Funktionalität und 70 Möglichkeiten für den schnellen Zugriff auf die Informationen eines Benutzers zu bieten. Der Angreifer hätte die Authentifizierungstoken des Benutzers auch abrufen können, indem er eine Anfrage an einen kontrollierten Server auslöste und das Cookie und die Anfrageheader protokollierte.
Microsoft schrieb über genau dieses Problem mit JavaScript-Brücken in der Vergangenheit und ein CVE-Eintrag Weitere Einzelheiten zu dieser TikTok-Sicherheitslücke finden Sie hier. Das Unternehmen meldete das Problem über Coordinated Vulnerability Disclosure (CVD) über Microsoft Security Vulnerability Research (MSVR) im Februar 2022 veröffentlicht und einen Monat nach der Offenlegung von TikTok gepatcht. Microsoft ist der Ansicht, dass diese Situation zeigt, wie wichtig es ist, Forschung und Bedrohungsinformationen in der Technologiebranche zu koordinieren.
Quelle: Microsoft