Microsoft a raportat o vulnerabilitate de mare severitate în aplicația TikTok pentru Android, una care ar fi putut permite atacatorilor să intre în conturi cu un singur clic.
Aplicația Android TikTok a avut o problemă serioasă de securitate, iar Microsoft a fost cea care a raportat-o. Compania a detaliat recent concluziile pentru comunitatea de securitate cibernetică, indicând că vulnerabilitatea de mare severitate ar fi putut permite atacatorilor să compromită conturile cu un singur clic. TikTok a fost, de asemenea, notificat cu privire la problemă de către Microsoft, iar de atunci a fost corectat.
Această vulnerabilitate specifică a afectat TikTok pe Android versiunea 23.7.3 și versiunile anterioare, a necesitat mai multe probleme să fie înlănțuite pentru a fi exploatate și nu a fost folosită în sălbăticie, potrivit Microsoft. Aceasta înseamnă că nimeni nu este probabil să fi fost afectat de aceasta. Există de fapt două versiuni de TikTok pe Android, una pentru Asia de Est și de Sud-Est și alta pentru restul lumii. Microsoft a efectuat o evaluare a vulnerabilității și a constatat că ambele au fost afectate, ceea ce înseamnă că vulnerabilitatea a afectat un total de 1,5 miliarde de instalări.
Cu această vulnerabilitate, totuși, hackerii ar fi putut deturna un cont TikTok bazat pe Android fără ca utilizatorul să știe doar dacă utilizatorul a făcut clic pe un singur link. Atacatorul ar fi putut accesa profilul TikTok compromis, permițându-i să vadă videoclipuri private, să trimită mesaje sau să încarce videoclipuri.
Deci, care sunt detaliile despre modul în care această vulnerabilitate ar fi putut fi folosită de un atacator? Ei bine, conform Microsoft, aplicația TikTok pentru Android a permis verificarea deeplink a aplicației să fie ocolită. Un atacator ar fi putut forța aplicația să încarce o adresă URL în WebView-ul aplicației. Acest lucru ar fi permis apoi paginii din acea adresă URL să acceseze podurile JavaScript ale WebView pentru a oferi unui hacker mai multe funcționalități și 70 de moduri de a accesa rapid informațiile unui utilizator. Atacatorul ar fi putut prelua și jetoanele de autentificare ale utilizatorului prin declanșarea unei cereri către un server controlat și înregistrând cookie-ul și anteturile solicitării.
Microsoft a scris despre această problemă a podurilor JavaScript în trecut, și o intrare CVE este disponibil pentru mai multe detalii despre această vulnerabilitate TikTok. Compania a raportat problema prin coordonarea dezvăluirii vulnerabilităților (CVD) prin Microsoft Security Vulnerability Research (MSVR) în februarie 2022 și a fost remediat de TikTok la o lună după dezvăluire. Microsoft susține că această situație arată cât de importantă este coordonarea cercetării și a informațiilor despre amenințări în industria tehnologiei.
Sursă: Microsoft