Microsoft je izvijestio o ranjivosti visoke ozbiljnosti u Android aplikaciji TikTok, koja je napadačima mogla omogućiti pristup računima jednim klikom.
Aplikacija Android TikTok imala je ozbiljan sigurnosni problem, a Microsoft je bio taj koji ga je prijavio. Tvrtka je nedavno detaljno iznijela nalaze za cybersigurnosnu zajednicu, ukazujući da je ranjivost visoke ozbiljnosti mogla omogućiti napadačima da ugroze račune jednim klikom. Microsoft je također obavijestio TikTok o problemu i on je u međuvremenu zakrpan.
Ova specifična ranjivost utjecala je na TikTok na Android verziji 23.7.3 i starijim, zahtijevalo je povezivanje nekoliko problema da bi se iskoristila i nije se koristila u divljini, prema Microsoftu. To znači da vjerojatno nikoga nije pogodio. Zapravo postoje dvije verzije TikToka na Androidu, jedna za istočnu i jugoistočnu Aziju, a druga za ostatak svijeta. Microsoft je izvršio procjenu ranjivosti i otkrio da su oboje pogođeni, što znači da je ranjivost pogodila ukupno 1,5 milijardi instalacija.
S ranjivošću, međutim, hakeri su mogli oteti TikTok račun temeljen na Androidu, a da korisnik nije znao je li korisnik kliknuo na jednu vezu. Napadač je mogao pristupiti kompromitiranom TikTok profilu, dopuštajući im da vide privatne videozapise, šalju poruke ili učitavaju videozapise.
Dakle, koje su specifičnosti o tome kako je ovu ranjivost mogao iskoristiti napadač? Pa, prema Microsoftu, Android aplikacija TikTok omogućila je zaobilaženje verifikacije duboke veze aplikacije. Napadač je mogao prisiliti aplikaciju da učita URL u WebView aplikacije. To bi onda omogućilo stranici u tom URL-u da pristupi WebViewovim JavaScript mostovima kako bi hakeru dao više funkcionalnosti i 70 načina za brzi pristup informacijama korisnika. Napadač je također mogao dohvatiti korisničke tokene za provjeru autentičnosti pokretanjem zahtjeva prema kontroliranom poslužitelju i bilježenjem kolačića i zaglavlja zahtjeva.
Microsoft pisao upravo o ovom problemu JavaScript mostova u prošlosti, i CVE unos dostupno je za više detalja o ovoj ranjivosti TikToka. Tvrtka je prijavila problem kroz Coordinated Vulnerability Disclosure (CVD) putem Microsoftovog istraživanja sigurnosnih ranjivosti (MSVR) u veljači 2022., a TikTok ga je zakrpao mjesec dana nakon otkrivanja. Microsoft smatra da ova situacija pokazuje koliko je važno koordinirati istraživanje i obavještavanje o prijetnjama u tehnološkoj industriji.
Izvor: Microsoft