Microsoft teatas TikToki Androidi rakenduse väga tõsisest haavatavusest, mis oleks võinud lubada ründajatel ühe klõpsuga kontodele pääseda.
Androidi TikToki rakendusel oli tõsine turvaprobleem ja Microsoft oli see, kes sellest teatas. Ettevõte kirjeldas hiljuti küberjulgeoleku kogukonna kohta tehtud järeldusi, viidates sellele, et väga tõsine haavatavus võis võimaldada ründajatel ühe klõpsuga kontosid ohustada. TikToki teavitas probleemist ka Microsoft ja see on sellest ajast peale paigatud.
See konkreetne haavatavus mõjutas TikToki Androidi versioonis 23.7.3 ja vanemas versioonis, selle ärakasutamiseks oli vaja mitut probleemi kokku aheldada ja Microsofti sõnul ei kasutatud seda looduses. See tähendab, et tõenäoliselt pole see kedagi mõjutanud. Androidis on tegelikult kaks TikToki versiooni, üks Ida- ja Kagu-Aasia jaoks ning teine ülejäänud maailma jaoks. Microsoft viis läbi haavatavuse hindamise ja leidis, et mõlemad on mõjutatud, mis tähendab, et haavatavus tabas kokku 1,5 miljardit installi.
Selle haavatavuse tõttu oleksid häkkerid võinud kaaperdada Android-põhise TikToki konto, ilma et kasutaja oleks teadnud, kas kasutaja klõpsas ühel lingil. Ründaja oleks võinud pääseda juurde ohustatud TikToki profiilile, võimaldades neil näha privaatseid videoid, saata sõnumeid või üles laadida videoid.
Niisiis, millised on üksikasjad selle kohta, kuidas ründaja võis seda haavatavust kasutada? Microsofti sõnul võimaldas TikToki Androidi rakendus rakenduse süvalingi kinnitamisest mööda minna. Ründaja oleks võinud sundida rakendust laadima URL-i rakenduse WebView'sse. See oleks siis võimaldanud selle URL-i lehel juurdepääsu WebView JavaScripti sildadele, et anda häkkerile rohkem funktsioone ja 70 võimalust kasutaja teabele kiireks juurdepääsuks. Ründaja oleks võinud hankida ka kasutaja autentimismärgid, käivitades päringu kontrollitavale serverile ning logides küpsise ja päringu päised.
Microsoft kirjutas just sellest JavaScripti sildade probleemist minevikus ja CVE kirje on selle TikToki haavatavuse kohta täpsema teabe saamiseks saadaval. Ettevõte teatas probleemist Microsofti turvahaavatavuse uurimise kaudu koordineeritud haavatavuse avalikustamise (CVD) kaudu (MSVR) 2022. aasta veebruaris ja TikTok parandas selle kuu pärast avalikustamist. Microsoft leiab, et see olukord näitab, kui oluline on tehnoloogiatööstuses teadusuuringute ja ohuteabe koordineerimine.
Allikas: Microsoft