A Microsoft relatou uma vulnerabilidade de alta gravidade no aplicativo TikTok para Android, que poderia permitir que invasores acessassem contas com um clique.
O aplicativo Android TikTok tinha um sério problema de segurança e foi a Microsoft quem o relatou. A empresa detalhou recentemente as descobertas para a comunidade de segurança cibernética, indicando que a vulnerabilidade de alta gravidade poderia ter permitido que invasores comprometessem contas com um único clique. O TikTok também foi notificado sobre o problema pela Microsoft e já foi corrigido.
Esta vulnerabilidade específica impactou o TikTok no Android versão 23.7.3 e inferior, exigiu que vários problemas fossem encadeados para exploração e não foi usada em estado selvagem, de acordo com a Microsoft. Isso significa que provavelmente ninguém foi afetado por isso. Na verdade, existem duas versões do TikTok no Android, uma para o Leste e Sudeste Asiático e outra para o resto do mundo. A Microsoft realizou uma avaliação de vulnerabilidade e descobriu que ambas foram afetadas, o que significa que a vulnerabilidade atingiu um total de 1,5 bilhão de instalações.
Com a vulnerabilidade, porém, os hackers poderiam ter sequestrado uma conta TikTok baseada em Android sem que o usuário soubesse apenas se clicou em um único link. O invasor pode ter acessado o perfil comprometido do TikTok, permitindo ver vídeos privados, enviar mensagens ou fazer upload de vídeos.
Então, quais são os detalhes sobre como essa vulnerabilidade poderia ter sido usada por um invasor? Bem, de acordo com a Microsoft, o aplicativo TikTok para Android permitiu que a verificação de deeplink do aplicativo fosse contornada. Um invasor pode ter forçado o aplicativo a carregar uma URL no WebView do aplicativo. Isso teria então permitido que a página naquele URL acessasse as pontes JavaScript do WebView para fornecer ao hacker mais funcionalidade e 70 maneiras de acessar rapidamente as informações de um usuário. O invasor também poderia ter recuperado os tokens de autenticação do usuário acionando uma solicitação a um servidor controlado e registrando o cookie e os cabeçalhos da solicitação.
Microsoft escreveu sobre esse problema de pontes JavaScript no passado, e uma entrada CVE está disponível para mais detalhes sobre esta vulnerabilidade do TikTok. A empresa relatou o problema por meio de Divulgação Coordenada de Vulnerabilidade (CVD) por meio da Pesquisa de Vulnerabilidade de Segurança da Microsoft (MSVR) em fevereiro de 2022, e foi corrigido pelo TikTok um mês após a divulgação. A Microsoft afirma que esta situação mostra o quão importante é coordenar a pesquisa e a inteligência sobre ameaças na indústria de tecnologia.
Fonte: Microsoft