Microsoft je poročal o zelo resni ranljivosti v aplikaciji TikTok za Android, ki bi lahko napadalcem omogočila vstop v račune z enim klikom.
Aplikacija Android TikTok je imela resno varnostno težavo in Microsoft je bil tisti, ki jo je prijavil. Podjetje je pred kratkim podrobno predstavilo ugotovitve za skupnost kibernetske varnosti, ki kažejo, da bi ranljivost visoke stopnje lahko napadalcem omogočila, da ogrozijo račune z enim samim klikom. TikTok je o težavi obvestil tudi Microsoft, ki je bil medtem popravljen.
Ta specifična ranljivost je vplivala na TikTok v različici Android 23.7.3 in nižjih, za izkoriščanje je bilo treba povezati več težav in ni bila uporabljena v naravi, pravi Microsoft. To pomeni, da verjetno ne bo nikogar prizadel. Pravzaprav obstajata dve različici TikTok v sistemu Android, ena za vzhodno in jugovzhodno Azijo ter druga za preostali svet. Microsoft je izvedel oceno ranljivosti in ugotovil, da sta oba prizadeta, kar pomeni, da je ranljivost prizadela skupno 1,5 milijarde namestitev.
S to ranljivostjo pa bi lahko hekerji ugrabili račun TikTok, ki temelji na Androidu, ne da bi uporabnik vedel, ali je uporabnik kliknil eno samo povezavo. Napadalec bi lahko dostopal do ogroženega profila TikTok in mu omogočil ogled zasebnih videoposnetkov, pošiljanje sporočil ali nalaganje videoposnetkov.
Torej, kakšne so posebnosti o tem, kako bi lahko napadalec uporabil to ranljivost? No, po mnenju Microsofta je aplikacija TikTok za Android omogočila, da se je obšlo preverjanje globoke povezave aplikacije. Napadalec bi lahko prisilil aplikacijo, da naloži URL v WebView aplikacije. To bi nato strani v tem URL-ju omogočilo dostop do mostov JavaScript WebViewa, da bi hekerju zagotovili več funkcionalnosti in 70 načinov za hiter dostop do informacij uporabnika. Napadalec bi lahko pridobil tudi žetone za preverjanje pristnosti uporabnika tako, da bi sprožil zahtevo nadzorovanemu strežniku ter zabeležil piškotek in glave zahtev.
Microsoft pisal prav o tej težavi z mostovi JavaScript v preteklosti in vnos CVE je na voljo za več podrobnosti o tej ranljivosti TikTok. Podjetje je o težavi poročalo z usklajenim razkrivanjem ranljivosti (CVD) prek Microsoftove varnostne raziskave ranljivosti (MSVR) februarja 2022, TikTok pa ga je popravil mesec dni po razkritju. Microsoft meni, da ta situacija kaže, kako pomembno je usklajevanje raziskav in obveščanja o grožnjah v tehnološki industriji.
Vir: Microsoft