Microsoft ha segnalato una vulnerabilità di elevata gravità nell'app TikTok per Android, che avrebbe potuto consentire agli aggressori di accedere agli account con un clic.
L'app Android TikTok presentava un serio problema di sicurezza e Microsoft è stata quella a segnalarlo. La società ha recentemente dettagliato i risultati per la comunità della sicurezza informatica, indicando che la vulnerabilità di elevata gravità avrebbe potuto consentire agli aggressori di compromettere gli account con un solo clic. Anche TikTok è stato informato del problema da Microsoft e da allora è stato corretto.
Questa specifica vulnerabilità ha avuto un impatto su TikTok su Android versione 23.7.3 e precedenti, ha richiesto il concatenamento di diversi problemi per essere sfruttata e, secondo Microsoft, non è stata utilizzata in natura. Ciò significa che è probabile che nessuno ne sia stato colpito. In realtà esistono due versioni di TikTok su Android, una per l'Asia orientale e sud-orientale e un'altra per il resto del mondo. Microsoft ha eseguito una valutazione della vulnerabilità e ha scoperto che entrambe erano interessate, il che significa che la vulnerabilità ha colpito un totale di 1,5 miliardi di installazioni.
Con la vulnerabilità, tuttavia, gli hacker avrebbero potuto prendere il controllo di un account TikTok basato su Android senza che l’utente sapesse se ha fatto clic su un singolo collegamento. L'aggressore potrebbe aver avuto accesso al profilo TikTok compromesso, consentendogli di vedere video privati, inviare messaggi o caricare video.
Quindi, quali sono le specifiche su come questa vulnerabilità potrebbe essere stata utilizzata da un utente malintenzionato? Ebbene, secondo Microsoft, l'app TikTok per Android ha consentito di aggirare la verifica del deeplink dell'app. Un utente malintenzionato potrebbe aver forzato l'app a caricare un URL nel WebView dell'app. Ciò avrebbe quindi consentito alla pagina in quell'URL di accedere ai bridge JavaScript di WebView per fornire a un hacker più funzionalità e 70 modi per accedere rapidamente alle informazioni di un utente. L'aggressore avrebbe potuto anche recuperare i token di autenticazione dell'utente avviando una richiesta a un server controllato e registrando il cookie e le intestazioni della richiesta.
Microsoft ha scritto proprio su questo problema dei bridge JavaScript in passato, e una voce CVE è disponibile per maggiori dettagli su questa vulnerabilità di TikTok. La società ha segnalato il problema tramite la divulgazione coordinata delle vulnerabilità (CVD) tramite Microsoft Security Vulnerability Research (MSVR) nel febbraio del 2022 ed è stato corretto da TikTok un mese dopo la divulgazione. Microsoft ritiene che questa situazione dimostra quanto sia importante coordinare la ricerca e l’intelligence sulle minacce nel settore tecnologico.
Fonte: Microsoft