Мицрософт је пријавио велику рањивост у апликацији ТикТок за Андроид, ону која је могла дозволити нападачима да уђу у налоге једним кликом.
Апликација Андроид ТикТок имала је озбиљан безбедносни проблем, а Мицрософт је то пријавио. Компанија је недавно детаљно изнела налазе за заједницу сајбер безбедности, указујући да је рањивост високе озбиљности могла да омогући нападачима да компромитују налоге једним кликом. Мицрософт је такође обавестио ТикТок о проблему и од тада је закрпљен.
Ова специфична рањивост утицала је на ТикТок на Андроид верзији 23.7.3 и старијој, захтевала је да се неколико проблема повеже заједно да би се искоришћавала и није коришћена у дивљини, према Мицрософт-у. То значи да нико вероватно неће бити погођен тиме. Заправо постоје две верзије ТикТок-а на Андроиду, једна за источну и југоисточну Азију, а друга за остатак света. Мицрософт је извршио процену рањивости и открио да су обе погођене, што значи да је рањивост погодила укупно 1,5 милијарди инсталација.
Међутим, са рањивости, хакери су могли да отму ТикТок налог заснован на Андроиду, а да корисник не зна само да ли је корисник кликнуо на једну везу. Нападач је могао да приступи компромитованом ТикТок профилу, дозвољавајући му да види приватне видео снимке, шаље поруке или отпрема видео снимке.
Дакле, које су специфичности о томе како је ову рањивост могао искористити нападач? Па, према Мицрософт-у, ТикТок Андроид апликација је омогућила да се заобиђе верификација дубоких линкова апликације. Нападач је могао да натера апликацију да учита УРЛ у ВебВиев апликације. Ово би онда омогућило страници на тој УРЛ адреси да приступи ЈаваСцрипт мостовима ВебВиев-а да би хакеру дало више функционалности и 70 начина да брзо приступи информацијама корисника. Нападач је такође могао да преузме корисничке токене за аутентификацију тако што је покренуо захтев контролисаном серверу и евидентирао колачић и заглавља захтева.
Мицрософт писао о овом проблему са ЈаваСцрипт мостовима у прошлости, и ЦВЕ унос је доступан за више детаља о овој рањивости ТикТок-а. Компанија је пријавила проблем путем Цоординатед Вулнерабилити Дисцлосуре (ЦВД) путем Мицрософт Сецурити Вулнерабилити Ресеарцх (МСВР) у фебруару 2022. године, а ТикТок га је закрпио месец дана након откривања. Мицрософт сматра да ова ситуација показује колико је важно координирати истраживање и обавештајне податке о претњама у технолошкој индустрији.
Извор: Мицрософт