A Microsoft egy súlyos biztonsági rést jelentett a TikTok Android alkalmazásban, amely lehetővé tette volna, hogy a támadók egy kattintással bejussanak a fiókokba.
Az Android TikTok alkalmazásnak komoly biztonsági problémái voltak, és a Microsoft jelentette. A cég a közelmúltban részletezte a kiberbiztonsági közösség megállapításait, jelezve, hogy a súlyos biztonsági rés lehetővé tehette a támadók számára, hogy egyetlen kattintással feltörhessék a fiókokat. A TikTok-ot a Microsoft is értesítette a problémáról, és azóta kijavították.
Ez a sérülékenység a 23.7.3-as és régebbi Android-verziójú TikTok-ot érintette, több problémát össze kellett láncolni a kihasználáshoz, és a Microsoft szerint nem használták a természetben. Ez azt jelenti, hogy valószínűleg senkit sem érintett. Valójában a TikTok két verziója létezik Androidon, az egyik Kelet- és Délkelet-Ázsiára, egy másik pedig a világ többi részére. A Microsoft elvégezte a sebezhetőség felmérését, és megállapította, hogy mindkettő érintett, ami azt jelenti, hogy a sérülékenység összesen 1,5 milliárd telepítést érintett.
A sérülékenységgel azonban a hackerek eltéríthettek volna egy Android-alapú TikTok-fiókot anélkül, hogy a felhasználó tudta volna, hogy a felhasználó egyetlen linkre kattintott-e. A támadó hozzáférhetett a feltört TikTok-profilhoz, lehetővé téve számára, hogy privát videókat lásson, üzeneteket küldhessen vagy videókat tölthessen fel.
Tehát mi a konkrétum arra vonatkozóan, hogy egy támadó hogyan használhatta fel ezt a biztonsági rést? Nos, a Microsoft szerint a TikTok Android alkalmazás lehetővé tette az alkalmazás mélyhivatkozás-ellenőrzésének megkerülését. Egy támadó kényszeríthette az alkalmazást, hogy töltsön be egy URL-t az alkalmazás WebView-nézetébe. Ez lehetővé tette volna, hogy az URL-ben található oldal hozzáférjen a WebView JavaScript-hídjaihoz, hogy a hackerek több funkciót és 70 módot biztosítsanak a felhasználó információinak gyors eléréséhez. A támadó a felhasználó hitelesítési tokenjeit is lekérhette volna úgy, hogy kérelmet indít egy ellenőrzött szerver felé, és naplózza a cookie-t és a kérés fejléceit.
Microsoft pont erről a JavaScript-hidak problémáról írt a múltban, és egy CVE bejegyzés A TikTok sebezhetőségével kapcsolatos további részletekért elérhető. A vállalat a problémát a Microsoft Security Vulnerability Research-en keresztül koordinált sebezhetőségi nyilatkozat (CVD) útján jelentette.MSVR) 2022 februárjában, és a TikTok egy hónappal a közzététel után javította. A Microsoft álláspontja szerint ez a helyzet azt mutatja, hogy mennyire fontos a kutatás és a fenyegetésekkel kapcsolatos felderítés összehangolása a technológiai iparban.
Forrás: Microsoft