Microsoft는 공격자가 클릭 한 번으로 계정에 들어갈 수 있는 TikTok Android 앱의 심각도가 높은 취약점을 보고했습니다.
Android TikTok 앱에는 심각한 보안 문제가 있었고 이를 보고한 사람은 Microsoft였습니다. 회사는 최근 사이버 보안 커뮤니티에 대한 조사 결과를 자세히 설명했는데, 이는 심각도가 높은 취약점으로 인해 공격자가 한 번의 클릭으로 계정을 손상시킬 수 있음을 나타냅니다. TikTok에도 Microsoft로부터 이 문제가 통보되었으며 이후 패치가 이루어졌습니다.
Microsoft에 따르면 이 특정 취약점은 Android 버전 23.7.3 이하의 TikTok에 영향을 미쳤으며 악용하려면 여러 가지 문제를 함께 연결해야 했으며 실제로는 사용되지 않았습니다. 즉, 이로 인해 영향을 받은 사람은 아무도 없을 것입니다. 실제로 Android에는 두 가지 버전의 TikTok이 있습니다. 하나는 동아시아 및 동남아시아용이고 다른 하나는 나머지 국가용입니다. Microsoft는 취약성 평가를 수행한 결과 두 가지 모두 영향을 받았다는 사실을 발견했습니다. 이는 이 취약성이 총 15억 건의 설치에 영향을 미쳤음을 의미합니다.
하지만 이 취약점으로 인해 해커는 사용자가 단일 링크를 클릭했는지 여부만 알지 못한 채 Android 기반 TikTok 계정을 탈취할 수 있습니다. 공격자는 손상된 TikTok 프로필에 액세스하여 비공개 동영상을 보거나 메시지를 보내거나 동영상을 업로드할 수 있었습니다.
그렇다면 공격자가 이 취약점을 어떻게 사용할 수 있었는지에 대한 구체적인 내용은 무엇입니까? Microsoft에 따르면 TikTok Android 앱에서는 앱의 딥링크 확인을 우회할 수 있었습니다. 공격자는 앱이 앱의 WebView에 대한 URL을 로드하도록 강제할 수 있습니다. 그러면 해당 URL의 페이지가 WebView의 JavaScript 브리지에 액세스하여 해커에게 더 많은 기능과 사용자 정보에 빠르게 액세스할 수 있는 70가지 방법을 제공할 수 있게 됩니다. 공격자는 제어된 서버에 대한 요청을 트리거하고 쿠키와 요청 헤더를 기록하여 사용자의 인증 토큰을 검색할 수도 있습니다.
마이크로소프트 이 JavaScript 브리지 문제에 대해 썼습니다. 과거에 그리고 CVE 항목 이 TikTok 취약점에 대한 자세한 내용은 에서 확인할 수 있습니다. 회사는 Microsoft Security Vulnerability Research()를 통해 CVD(Coordinated Vulnerability Disclosure)를 통해 이 문제를 보고했습니다.MSVR) 2022년 2월에 공개되었으며 공개 한 달 후 TikTok에 의해 패치되었습니다. Microsoft는 이러한 상황이 기술 산업에서 연구 및 위협 인텔리전스를 조정하는 것이 얼마나 중요한지를 보여주는 상황이라고 생각합니다.
원천: 마이크로소프트