Microsoft meldde een zeer ernstige kwetsbaarheid in de TikTok Android-app, waardoor aanvallers met één klik toegang tot accounts konden krijgen.
De Android TikTok-app had een ernstig beveiligingsprobleem en Microsoft was degene die dit meldde. Het bedrijf heeft onlangs de bevindingen gedetailleerd voor de cyberbeveiligingsgemeenschap, wat aangeeft dat de zeer ernstige kwetsbaarheid ervoor had kunnen zorgen dat aanvallers met één klik accounts konden binnendringen. TikTok werd ook door Microsoft op de hoogte gebracht van het probleem en het is inmiddels gepatcht.
Deze specifieke kwetsbaarheid had gevolgen voor TikTok op Android-versie 23.7.3 en lager, vereiste dat verschillende problemen aan elkaar moesten worden gekoppeld om misbruik te kunnen maken, en werd volgens Microsoft niet in het wild gebruikt. Dit betekent dat het waarschijnlijk is dat niemand er last van heeft gehad. Er zijn eigenlijk twee versies van TikTok op Android, één voor Oost- en Zuidoost-Azië, en één voor de rest van de wereld. Microsoft voerde een kwetsbaarheidsanalyse uit en ontdekte dat beide getroffen waren, wat betekent dat de kwetsbaarheid in totaal 1,5 miljard installaties trof.
Door de kwetsbaarheid hadden hackers echter een Android-gebaseerd TikTok-account kunnen kapen zonder dat de gebruiker wist of de gebruiker op een enkele link had geklikt. De aanvaller had toegang kunnen krijgen tot het gecompromitteerde TikTok-profiel, waardoor hij privévideo's kon bekijken, berichten kon sturen of video's kon uploaden.
Wat zijn de details over hoe deze kwetsbaarheid door een aanvaller had kunnen worden gebruikt? Volgens Microsoft zorgde de TikTok Android-app ervoor dat de deeplink-verificatie van de app werd omzeild. Een aanvaller had de app kunnen dwingen een URL naar de WebView van de app te laden. Hierdoor zou de pagina in die URL toegang hebben gekregen tot de JavaScript-bruggen van WebView om een hacker meer functionaliteit te geven en 70 manieren om snel toegang te krijgen tot de informatie van een gebruiker. De aanvaller had ook de authenticatietokens van de gebruiker kunnen achterhalen door een verzoek naar een gecontroleerde server te sturen en de cookie en de verzoekheaders te registreren.
Microsoft schreef over dit probleem met JavaScript-bruggen in het verleden, en een CVE-invoer is beschikbaar voor meer informatie over deze TikTok-kwetsbaarheid. Het bedrijf meldde het probleem via Coördineerde Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR) in februari 2022, en een maand na de onthulling werd het door TikTok gepatcht. Microsoft is van mening dat deze situatie laat zien hoe belangrijk het is om onderzoek en informatie over bedreigingen in de technologie-industrie te coördineren.
Bron: Microsoft