Spoločnosť Microsoft oznámila veľmi závažnú zraniteľnosť v aplikácii TikTok pre Android, ktorá mohla útočníkom umožniť dostať sa do účtov jedným kliknutím.
Aplikácia Android TikTok mala vážny bezpečnostný problém a spoločnosť Microsoft to oznámila. Spoločnosť nedávno podrobne opísala zistenia pre komunitu kybernetickej bezpečnosti, čo naznačuje, že veľmi závažná zraniteľnosť mohla útočníkom umožniť kompromitovať účty jediným kliknutím. TikTok bol na problém upozornený aj spoločnosťou Microsoft a odvtedy bol opravený.
Táto špecifická zraniteľnosť ovplyvnila TikTok v systéme Android verzie 23.7.3 a nižšej, podľa Microsoftu si vyžadovala reťazenie niekoľkých problémov, ktoré bolo možné zneužiť, a podľa Microsoftu sa nepoužívala vo voľnej prírode. To znamená, že pravdepodobne nikoho nezasiahla. V skutočnosti existujú dve verzie TikTok pre Android, jedna pre východnú a juhovýchodnú Áziu a druhá pre zvyšok sveta. Microsoft vykonal posúdenie zraniteľnosti a zistil, že obe boli ovplyvnené, čo znamená, že zraniteľnosť zasiahla celkovo 1,5 miliardy inštalácií.
S touto zraniteľnosťou však hackeri mohli uniesť účet TikTok založený na systéme Android bez toho, aby používateľ vedel, či klikol na jediný odkaz. Útočník mohol získať prístup k ohrozenému profilu TikTok a umožniť im vidieť súkromné videá, odosielať správy alebo nahrávať videá.
Aké sú teda konkrétne informácie o tom, ako mohol útočník použiť túto zraniteľnosť? Podľa Microsoftu aplikácia TikTok pre Android umožnila obísť overenie aplikácie prostredníctvom priamych odkazov. Útočník mohol prinútiť aplikáciu, aby načítala adresu URL do WebView aplikácie. To by potom umožnilo stránke na tejto adrese URL pristupovať k mostom JavaScriptu WebView, čo by hackerovi poskytlo viac funkcií a 70 spôsobov rýchleho prístupu k informáciám používateľa. Útočník mohol tiež získať autentifikačné tokeny používateľa spustením požiadavky na kontrolovaný server a zaznamenaním súboru cookie a hlavičiek požiadaviek.
Microsoft napísal o tomto probléme s mostami JavaScript v minulosti a záznam CVE je k dispozícii pre ďalšie podrobnosti o tejto zraniteľnosti TikTok. Spoločnosť nahlásila problém prostredníctvom Coordinated Vulnerability Disclosure (CVD) prostredníctvom Microsoft Security Vulnerability Research (MSVR) vo februári 2022 a spoločnosť TikTok ju opravila mesiac po zverejnení. Microsoft zastáva názor, že táto situácia ukazuje, aké dôležité je koordinovať výskum a spravodajstvo o hrozbách v technologickom priemysle.
Zdroj: Microsoft