מיקרוסופט דיווחה על פגיעות בחומרה גבוהה באפליקציית TikTok Android, כזו שיכולה הייתה לאפשר לתוקפים להיכנס לחשבונות בלחיצה אחת.
לאפליקציית Android TikTok הייתה בעיית אבטחה רצינית, ומיקרוסופט היא זו שדיווחה עליה. החברה פירטה לאחרונה את הממצאים עבור קהילת אבטחת הסייבר, והצביעה על כך שהפגיעות בחומרה גבוהה יכלה לאפשר לתוקפים לסכן חשבונות בקליק אחד. TikTok קיבלה הודעה על הבעיה גם על ידי מיקרוסופט, ומאז היא תוקנה.
הפגיעות הספציפית הזו השפיעה על TikTok בגרסת אנדרואיד 23.7.3 ומטה, דרשה חיבור של מספר בעיות יחד כדי לנצל, ולא נעשה בה שימוש בטבע, לפי מיקרוסופט. זה אומר שאיש לא סביר שהושפע מזה. יש למעשה שתי גרסאות של TikTok באנדרואיד, אחת למזרח ודרום מזרח אסיה, ואחרת לשאר העולם. מיקרוסופט ביצעה הערכת פגיעות ומצאה ששניהם הושפעו, כלומר הפגיעות הגיעה לסך של 1.5 מיליארד התקנות.
עם זאת, עם הפגיעות, האקרים יכלו לחטוף חשבון TikTok מבוסס אנדרואיד מבלי שהמשתמש ידע רק אם המשתמש לחץ על קישור בודד. התוקף יכול היה לגשת לפרופיל TikTok שנפגע, לאפשר לו לראות סרטונים פרטיים, לשלוח הודעות או להעלות סרטונים.
אז מה הם הפרטים לגבי האופן שבו פגיעות זו יכול היה לשמש על ידי תוקף? ובכן, לפי מיקרוסופט, אפליקציית TikTok Android אפשרה לעקוף את אימות הקישור העמוק של האפליקציה. תוקף יכול היה לאלץ את האפליקציה לטעון כתובת URL ל-WebView של האפליקציה. זה היה מאפשר לדף בכתובת ה-URL לגשת לגשרי ה-JavaScript של ה-WebView כדי לתת להאקר יותר פונקציונליות ו-70 דרכים לגשת במהירות למידע של משתמש. התוקף יכול היה גם לאחזר את אסימוני האימות של המשתמש על ידי הפעלת בקשה לשרת נשלט ורישום ה-cookie וכותרות הבקשות.
מיקרוסופט כתב על בעיה זו מאוד של גשרים של JavaScript בעבר, ו ערך CVE זמין לפרטים נוספים על פגיעות TikTok זו. החברה דיווחה על הבעיה באמצעות Coordinated Vulnerability Disclosure (CVD) באמצעות Microsoft Security Vulnerability Research (MSVR) בפברואר 2022, והוא תוקן על ידי TikTok חודש לאחר החשיפה. מיקרוסופט גורסת שמצב זה הוא מצב שמראה עד כמה חשוב לתאם מחקר ומודיעין איומים בתעשיית הטכנולוגיה.
מָקוֹר: מיקרוסופט