Microsoft ilmoitti TikTok Android -sovelluksen erittäin vakavasta haavoittuvuudesta, joka olisi voinut antaa hyökkääjien päästä tileille yhdellä napsautuksella.
Android TikTok -sovelluksessa oli vakava tietoturvaongelma, ja Microsoft ilmoitti siitä. Yhtiö tarkensi äskettäin kyberturvallisuusyhteisön havaintoja, jotka osoittavat, että erittäin vakava haavoittuvuus olisi voinut antaa hyökkääjille mahdollisuuden murtautua tileille yhdellä napsautuksella. Myös Microsoft ilmoitti ongelmasta TikTokille, ja se on sittemmin korjattu.
Tämä haavoittuvuus vaikutti TikTokiin Android-versiossa 23.7.3 ja sitä vanhemmissa, ja se vaati useiden ongelmien ketjuttamista yhteen hyödyntääkseen, eikä Microsoftin mukaan sitä käytetty luonnossa. Tämä tarkoittaa, että se ei todennäköisesti ole vaikuttanut keneenkään. TikTokista on itse asiassa kaksi versiota Androidissa, yksi Itä- ja Kaakkois-Aasialle ja toinen muulle maailmalle. Microsoft suoritti haavoittuvuusarvioinnin ja havaitsi, että vaikutus vaikutti molempiin, mikä tarkoittaa, että haavoittuvuus osui yhteensä 1,5 miljardiin asennukseen.
Haavoittuvuuden myötä hakkerit olisivat saattaneet kaapata Android-pohjaisen TikTok-tilin ilman, että käyttäjä olisi tiennyt, napsauttaako hän yhtä linkkiä. Hyökkääjä olisi voinut käyttää vaarantunutta TikTok-profiilia, jolloin hän voi nähdä yksityisiä videoita, lähettää viestejä tai ladata videoita.
Joten mitkä ovat yksityiskohdat siitä, kuinka hyökkääjä on voinut käyttää tätä haavoittuvuutta? Microsoftin mukaan TikTok Android -sovellus salli sovelluksen syvälinkin vahvistuksen ohituksen. Hyökkääjä olisi voinut pakottaa sovelluksen lataamaan URL-osoitteen sovelluksen WebView'hun. Tämän jälkeen URL-osoitteessa oleva sivu olisi voinut käyttää WebView'n JavaScript-siltoja, mikä antaisi hakkereille lisää toimintoja ja 70 tapaa päästä nopeasti käsiksi käyttäjän tietoihin. Hyökkääjä olisi voinut myös noutaa käyttäjän todennustunnukset käynnistämällä pyynnön valvotulle palvelimelle ja kirjaamalla evästeen ja pyyntöotsikot.
Microsoft kirjoitti juuri tästä JavaScript-siltojen ongelmasta menneisyydessä ja CVE-merkintä on saatavana lisätietoja tästä TikTok-haavoittuvuudesta. Yritys ilmoitti ongelmasta Microsoft Security Vulnerability Researchin kautta koordinoidun haavoittuvuuden paljastamisen (CVD) kautta (MSVR) helmikuussa 2022, ja TikTok korjasi sen kuukausi julkistamisen jälkeen. Microsoft katsoo, että tämä tilanne osoittaa, kuinka tärkeää on koordinoida tutkimusta ja uhkatiedollisuutta teknologiateollisuudessa.
Lähde: Microsoft