Firma Microsoft zgłosiła lukę w zabezpieczeniach aplikacji TikTok na Androida o dużej wadze, która mogła umożliwić atakującym uzyskanie dostępu do kont jednym kliknięciem.
Aplikacja TikTok na Androida miała poważny problem z bezpieczeństwem i to Microsoft go zgłosił. Firma szczegółowo przedstawiła ustalenia społeczności zajmującej się cyberbezpieczeństwem, wskazując, że luka w zabezpieczeniach o dużej wadze mogła umożliwić atakującym złamanie zabezpieczeń kont jednym kliknięciem. TikTok został również powiadomiony o problemie przez Microsoft i został już załatany.
Według Microsoftu ta konkretna luka dotyczy TikTok na Androidzie w wersji 23.7.3 i starszych, wymagała połączenia kilku problemów w celu wykorzystania i według Microsoftu nie była powszechnie wykorzystywana. Oznacza to, że prawdopodobnie nikt nie został przez to dotknięty. W rzeczywistości istnieją dwie wersje TikTok na Androida, jedna dla Azji Wschodniej i Południowo-Wschodniej, a druga dla reszty świata. Firma Microsoft przeprowadziła ocenę podatności i stwierdziła, że dotyczy ona obu wersji oprogramowania, co oznacza, że luka wystąpiła łącznie w 1,5 miliarda instalacji.
Jednak dzięki tej luce hakerzy mogliby przejąć kontrolę nad kontem TikTok opartym na systemie Android, bez wiedzy użytkownika, czy kliknął pojedynczy link. Osoba atakująca mogła uzyskać dostęp do zaatakowanego profilu TikTok, umożliwiając mu oglądanie prywatnych filmów, wysyłanie wiadomości lub przesyłanie filmów.
Jakie są zatem szczegóły dotyczące sposobu wykorzystania tej luki przez osobę atakującą? Cóż, według Microsoftu aplikacja TikTok na Androida umożliwiała ominięcie weryfikacji głębokiego łącza w aplikacji. Osoba atakująca mogła zmusić aplikację do załadowania adresu URL do WebView aplikacji. Umożliwiłoby to stronie pod tym adresem URL dostęp do mostków JavaScript WebView, co zapewniłoby hakerowi większą funkcjonalność i 70 sposobów szybkiego dostępu do informacji użytkownika. Osoba atakująca mogła również odzyskać tokeny uwierzytelniające użytkownika, wysyłając żądanie do kontrolowanego serwera i rejestrując plik cookie oraz nagłówki żądań.
Microsoftu napisałem o tym właśnie problemie z mostami JavaScript w przeszłości i wpis CVE można znaleźć więcej szczegółów na temat tej luki w zabezpieczeniach TikTok. Firma zgłosiła problem za pośrednictwem skoordynowanego ujawniania luk w zabezpieczeniach (CVD) w ramach badania luk w zabezpieczeniach firmy Microsoft (MSVR) w lutym 2022 r. i został załatany przez TikTok miesiąc po ujawnieniu. Microsoft uważa, że ta sytuacja pokazuje, jak ważna jest koordynacja badań i analiza zagrożeń w branży technologicznej.
Źródło: Microsoftu