Η Microsoft ανέφερε μια ευπάθεια υψηλής σοβαρότητας στην εφαρμογή TikTok Android, μια ευπάθεια που θα μπορούσε να επιτρέψει στους εισβολείς να εισέλθουν σε λογαριασμούς με ένα κλικ.
Η εφαρμογή Android TikTok είχε ένα σοβαρό πρόβλημα ασφαλείας και η Microsoft ήταν αυτή που το ανέφερε. Η εταιρεία παρουσίασε πρόσφατα τα ευρήματα για την κοινότητα της κυβερνοασφάλειας, υποδεικνύοντας ότι η ευπάθεια υψηλής σοβαρότητας θα μπορούσε να έχει επιτρέψει στους εισβολείς να παραβιάσουν λογαριασμούς με ένα μόνο κλικ. Το TikTok ειδοποιήθηκε επίσης για το ζήτημα από τη Microsoft και έκτοτε έχει διορθωθεί.
Αυτή η συγκεκριμένη ευπάθεια επηρέασε το TikTok στην έκδοση Android 23.7.3 και προγενέστερη, απαιτούσε να συνδεθούν πολλά ζητήματα μεταξύ τους για εκμετάλλευση και δεν χρησιμοποιήθηκε στη φύση, σύμφωνα με τη Microsoft. Αυτό σημαίνει ότι κανείς δεν είναι πιθανό να έχει επηρεαστεί από αυτό. Υπάρχουν στην πραγματικότητα δύο εκδόσεις του TikTok στο Android, μία για την Ανατολική και Νοτιοανατολική Ασία και μία για τον υπόλοιπο κόσμο. Η Microsoft πραγματοποίησε αξιολόγηση ευπάθειας και διαπίστωσε ότι και οι δύο επηρεάστηκαν, πράγμα που σημαίνει ότι η ευπάθεια έπληξε συνολικά 1,5 δισεκατομμύρια εγκαταστάσεις.
Με την ευπάθεια, ωστόσο, οι χάκερ θα μπορούσαν να έχουν παραβιάσει έναν λογαριασμό TikTok που βασίζεται σε Android χωρίς ο χρήστης να γνωρίζει εάν ο χρήστης έκανε κλικ σε έναν μόνο σύνδεσμο. Ο εισβολέας θα μπορούσε να έχει πρόσβαση στο παραβιασμένο προφίλ TikTok, επιτρέποντάς του να βλέπει ιδιωτικά βίντεο, να στέλνει μηνύματα ή να ανεβάζει βίντεο.
Λοιπόν, ποιες είναι οι λεπτομέρειες σχετικά με το πώς αυτή η ευπάθεια θα μπορούσε να είχε χρησιμοποιηθεί από έναν εισβολέα; Λοιπόν, σύμφωνα με τη Microsoft, η εφαρμογή TikTok Android επέτρεψε την παράκαμψη της επαλήθευσης συνδέσμων σε βάθος της εφαρμογής. Ένας εισβολέας θα μπορούσε να είχε αναγκάσει την εφαρμογή να φορτώσει μια διεύθυνση URL στο WebView της εφαρμογής. Αυτό θα επέτρεπε στη σελίδα σε αυτό το URL να αποκτήσει πρόσβαση στις γέφυρες JavaScript του WebView για να δώσει στον χάκερ περισσότερη λειτουργικότητα και 70 τρόπους γρήγορης πρόσβασης στις πληροφορίες ενός χρήστη. Ο εισβολέας θα μπορούσε επίσης να έχει ανακτήσει τα διακριτικά ελέγχου ταυτότητας του χρήστη ενεργοποιώντας ένα αίτημα σε έναν ελεγχόμενο διακομιστή και καταγράφοντας το cookie και τις κεφαλίδες αιτήματος.
Microsoft έγραψε για αυτό ακριβώς το ζήτημα των γεφυρών JavaScript στο παρελθόν, και μια καταχώρηση CVE είναι διαθέσιμο για περισσότερες λεπτομέρειες σχετικά με αυτήν την ευπάθεια TikTok. Η εταιρεία ανέφερε το ζήτημα μέσω της Συντονισμένης Αποκάλυψης Ευπάθειας (CVD) μέσω της Microsoft Security Vulnerability Research (MSVR) τον Φεβρουάριο του 2022 και διορθώθηκε από το TikTok ένα μήνα μετά την αποκάλυψη. Η Microsoft υποστηρίζει ότι αυτή η κατάσταση δείχνει πόσο σημαντικός είναι ο συντονισμός της έρευνας και της ευφυΐας απειλών στον κλάδο της τεχνολογίας.
Πηγή: Microsoft