Microsoft ziņoja par ļoti nopietnu ievainojamību TikTok Android lietotnē, kas varēja ļaut uzbrucējiem iekļūt kontos ar vienu klikšķi.
Android TikTok lietotnei bija nopietna drošības problēma, un Microsoft par to ziņoja. Uzņēmums nesen detalizēti aprakstīja kiberdrošības kopienas konstatējumus, norādot, ka ļoti nopietnā ievainojamība varēja ļaut uzbrucējiem apdraudēt kontus ar vienu klikšķi. TikTok par šo problēmu paziņoja arī Microsoft, un kopš tā laika tā ir labota.
Šī īpašā ievainojamība ietekmēja TikTok operētājsistēmā Android 23.7.3 un vecākās versijās, un tās izmantošanai bija jāsavieno vairākas problēmas, un tā netika izmantota savvaļā, norāda Microsoft. Tas nozīmē, ka tas, visticamāk, nav skāris nevienu. Faktiski operētājsistēmā Android ir divas TikTok versijas: viena Austrumāzijai un Dienvidaustrumāzijai un otra pārējai pasaulei. Microsoft veica ievainojamības novērtējumu un konstatēja, ka abi ir ietekmēti, kas nozīmē, ka ievainojamība kopumā skāra 1,5 miljardus instalāciju.
Tomēr ar ievainojamību hakeri varēja nolaupīt Android balstītu TikTok kontu, lietotājam nezinot, vai lietotājs ir noklikšķinājis uz vienas saites. Uzbrucējs varēja piekļūt apdraudētajam TikTok profilam, ļaujot viņam redzēt privātus videoklipus, sūtīt ziņojumus vai augšupielādēt videoklipus.
Tātad, kāda ir informācija par to, kā uzbrucējs varēja izmantot šo ievainojamību? Kā norāda Microsoft, Android lietotne TikTok ļāva apiet lietotnes dziļās saites verifikāciju. Uzbrucējs varēja piespiest lietotni ielādēt URL uz lietotnes WebView. Tas būtu ļāvis lapai šajā URL piekļūt WebView JavaScript tiltiem, lai sniegtu hakeram vairāk funkcionalitātes un 70 veidus, kā ātri piekļūt lietotāja informācijai. Uzbrucējs varēja arī izgūt lietotāja autentifikācijas pilnvaras, aktivizējot pieprasījumu kontrolētam serverim un reģistrējot sīkfailu un pieprasījuma galvenes.
Microsoft rakstīja par šo JavaScript tiltu problēmu pagātnē un CVE ieraksts ir pieejama sīkākai informācijai par šo TikTok ievainojamību. Uzņēmums ziņoja par problēmu, izmantojot koordinētu ievainojamības izpaušanu (CVD), izmantojot Microsoft drošības ievainojamības izpēti (MSVR) 2022. gada februārī, un TikTok to laboja mēnesi pēc informācijas atklāšanas. Microsoft uzskata, ka šī situācija parāda, cik svarīgi ir koordinēt pētniecību un draudu izlūkošanu tehnoloģiju nozarē.
Avots: Microsoft