Microsoft fant en sårbarhet i TikTok Android-appen

Microsoft rapporterte et alvorlig sikkerhetsproblem i TikTok Android-appen, en som kunne ha latt angripere komme inn på kontoer med ett klikk.

Android TikTok-appen hadde et alvorlig sikkerhetsproblem, og det var Microsoft som rapporterte det. Selskapet detaljerte nylig funnene for nettsikkerhetsfellesskapet, og indikerte at sårbarheten med høy alvorlighet kunne ha tillatt angripere å kompromittere kontoer med et enkelt klikk. TikTok ble også varslet om problemet av Microsoft, og det har siden blitt rettet.

Denne spesifikke sårbarheten påvirket TikTok på Android versjon 23.7.3 og lavere, krevde at flere problemer ble lenket sammen for å utnytte, og ble ikke brukt i naturen, ifølge Microsoft. Det betyr at ingen sannsynligvis har blitt berørt av det. Det er faktisk to versjoner av TikTok på Android, en for Øst- og Sørøst-Asia, og en annen for resten av verden. Microsoft utførte en sårbarhetsvurdering og fant ut at begge ble påvirket, noe som betyr at sårbarheten rammet totalt 1,5 milliarder installasjoner.

Med sårbarheten kunne hackere imidlertid ha kapret en Android-basert TikTok-konto uten at brukeren visste bare om brukeren klikket på en enkelt lenke. Angriperen kunne ha fått tilgang til den kompromitterte TikTok-profilen, latt dem se private videoer, sende meldinger eller laste opp videoer.

Så, hva er detaljene for hvordan dette sikkerhetsproblemet kan ha blitt brukt av en angriper? Vel, ifølge Microsoft tillot TikTok Android-appen at appens dyplinkverifisering ble omgått. En angriper kunne ha tvunget appen til å laste en URL til appens WebView. Dette ville da gitt siden i den URL-en tilgang til WebViews JavaScript-broer for å gi en hacker mer funksjonalitet og 70 måter å raskt få tilgang til en brukers informasjon. Angriperen kunne også ha hentet brukerens autentiseringstokener ved å utløse en forespørsel til en kontrollert server og logge informasjonskapselen og forespørselshodene.

Microsoft skrev om dette problemet med JavaScript-broer tidligere, og en CVE-oppføring er tilgjengelig for mer informasjon om denne TikTok-sårbarheten. Selskapet rapporterte problemet gjennom Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR) i februar 2022, og den ble lappet av TikTok en måned etter avsløringen. Microsoft mener at denne situasjonen er en som viser hvor viktig det er å koordinere forskning og trusseletterretning i teknologiindustrien.

Kilde: Microsoft