„Microsoft“ pranešė apie labai didelį „TikTok Android“ programos pažeidžiamumą, dėl kurio užpuolikai galėjo patekti į paskyras vienu paspaudimu.
„Android TikTok“ programoje iškilo rimta saugumo problema, ir „Microsoft“ apie tai pranešė. Bendrovė neseniai išsamiai išdėstė kibernetinio saugumo bendruomenės išvadas, nurodydama, kad dėl didelio pažeidžiamumo užpuolikai galėjo pažeisti paskyras vienu paspaudimu. TikTok apie problemą taip pat pranešė „Microsoft“, ir nuo to laiko ji buvo pataisyta.
Šis konkretus pažeidžiamumas paveikė „TikTok“ 23.7.3 ir senesnėse versijose „Android“, todėl, norint išnaudoti, reikėjo susieti keletą problemų, be to, „Microsoft“ teigimu, jis nebuvo naudojamas gamtoje. Tai reiškia, kad greičiausiai niekas nuo to nenukentėjo. „Android“ iš tikrųjų yra dvi „TikTok“ versijos: viena skirta Rytų ir Pietryčių Azijai, o kita – likusiam pasauliui. „Microsoft“ atliko pažeidžiamumo vertinimą ir nustatė, kad abu buvo paveikti, o tai reiškia, kad pažeidžiamumas iš viso buvo įdiegtas 1,5 mlrd.
Tačiau dėl pažeidžiamumo įsilaužėliai galėjo užgrobti „Android“ pagrįstą „TikTok“ paskyrą vartotojui nežinant, ar vartotojas spustelėjo vieną nuorodą. Užpuolikas galėjo pasiekti pažeistą „TikTok“ profilį, leisti jam matyti privačius vaizdo įrašus, siųsti žinutes arba įkelti vaizdo įrašus.
Taigi, kokia konkreti informacija apie tai, kaip užpuolikas galėjo panaudoti šį pažeidžiamumą? Na, „Microsoft“ teigimu, „TikTok Android“ programa leido apeiti programos giliosios nuorodos patvirtinimą. Užpuolikas galėjo priversti programą įkelti URL į programos WebView. Tada tame URL puslapis būtų galėjęs pasiekti WebView JavaScript tiltus, kad įsilaužėliams būtų suteikta daugiau funkcijų ir 70 būdų greitai pasiekti vartotojo informaciją. Užpuolikas taip pat galėjo nuskaityti vartotojo autentifikavimo prieigos raktus, suaktyvindamas užklausą valdomam serveriui ir registruodamas slapuką bei užklausų antraštes.
Microsoft rašė apie šią „JavaScript“ tiltų problemą praeityje ir CVE įrašas yra daugiau informacijos apie šį TikTok pažeidžiamumą. Bendrovė pranešė apie problemą per suderintą pažeidžiamumo atskleidimo (CVD) programą per „Microsoft Security Vulnerability Research“ (MSVR) 2022 m. vasario mėn., o „TikTok“ jį pataisė praėjus mėnesiui po atskleidimo. „Microsoft“ mano, kad ši situacija rodo, kaip svarbu koordinuoti tyrimus ir grėsmių žvalgybą technologijų pramonėje.
Šaltinis: Microsoft