მაიკროსოფტმა გამოაცხადა მაღალი სიმძიმის დაუცველობა TikTok Android აპში, რომელიც შეეძლო თავდამსხმელებს ანგარიშებში ერთი დაწკაპუნებით შეღწევის საშუალებას.
Android TikTok აპს ჰქონდა უსაფრთხოების სერიოზული პრობლემა და ამის შესახებ მაიკროსოფტი იყო. კომპანიამ ცოტა ხნის წინ დეტალურად დააზუსტა დასკვნები კიბერუსაფრთხოების საზოგადოებისთვის, რაც მიუთითებს იმაზე, რომ მაღალი სიმძიმის დაუცველობამ შესაძლოა თავდამსხმელებს საშუალება მისცემდა გაეტეხათ ანგარიშები ერთი დაწკაპუნებით. TikTok-მა ასევე შეატყობინა Microsoft-მა ამ საკითხის შესახებ და მას შემდეგ ის შესწორებულია.
ამ კონკრეტულმა დაუცველობამ იმოქმედა TikTok-ზე Android 23.7.3 და უფრო ახალ ვერსიაზე, მოითხოვდა რამდენიმე საკითხის ერთმანეთთან მიჯაჭვულობას ექსპლუატაციისთვის და არ იყო გამოყენებული ველურში, Microsoft-ის თანახმად. ეს ნიშნავს, რომ სავარაუდოდ არავინ დაზარალდა. რეალურად არსებობს TikTok-ის ორი ვერსია Android-ზე, ერთი აღმოსავლეთ და სამხრეთ-აღმოსავლეთ აზიისთვის და მეორე დანარჩენი მსოფლიოსთვის. მაიკროსოფტმა შეასრულა დაუცველობის შეფასება და აღმოაჩინა, რომ ორივე დაზარალდა, რაც ნიშნავს, რომ დაუცველობამ სულ 1,5 მილიარდ ინსტალაციას მიაღწია.
თუმცა, დაუცველობის გამო, ჰაკერებს შეეძლოთ გაეტაცებინათ Android-ზე დაფუძნებული TikTok ანგარიში ისე, რომ მომხმარებელმა არ იცოდა, დააკლიკა თუ არა მომხმარებელი ერთ ბმულზე. თავდამსხმელს შეეძლო წვდომა ჰქონოდა გაფუჭებულ TikTok პროფილზე, რათა დაენახა პირადი ვიდეოები, გაეგზავნა შეტყობინებები ან ატვირთა ვიდეო.
მაშ, რა არის სპეციფიკა, თუ როგორ შეიძლებოდა ამ დაუცველობის გამოყენება თავდამსხმელის მიერ? Microsoft-ის თქმით, TikTok Android-ის აპლიკაციამ საშუალება მისცა აპის ღრმა ბმულის გადამოწმების გვერდის ავლით. თავდამსხმელს შეეძლო აიძულა აპი ჩატვირთოს URL აპის WebView-ზე. ეს საშუალებას მისცემდა ამ URL-ის გვერდს წვდომოდა WebView-ის JavaScript ხიდებს, რათა ჰაკერს მეტი ფუნქციონირება და მომხმარებლის ინფორმაციაზე სწრაფი წვდომის 70 გზა მიეცეს. თავდამსხმელს შეეძლო მომხმარებლის ავთენტიფიკაციის ნიშნების მოპოვება კონტროლირებად სერვერზე მოთხოვნის გააქტიურებით და ქუქი-ფაილების და მოთხოვნის სათაურების აღრიცხვით.
მაიკროსოფტი დაწერა ამ JavaScript ხიდების საკითხზე წარსულში და CVE ჩანაწერი ხელმისაწვდომია მეტი სპეციფიკისთვის ამ TikTok დაუცველობის შესახებ. კომპანიამ შეატყობინა პრობლემა კოორდინირებული დაუცველობის გამჟღავნების (CVD) მეშვეობით, Microsoft-ის უსაფრთხოების დაუცველობის კვლევის მეშვეობით (MSVR) 2022 წლის თებერვალში და ის TikTok-მა შეცვალა გამჟღავნებიდან ერთი თვის შემდეგ. მაიკროსოფტი მიიჩნევს, რომ ეს არის ის სიტუაცია, რომელიც გვიჩვენებს, თუ რამდენად მნიშვნელოვანია კვლევისა და საფრთხის დაზვერვის კოორდინაცია ტექნოლოგიურ ინდუსტრიაში.
წყარო: მაიკროსოფტი