Microsoft rapporterade en allvarlig sårbarhet i TikTok Android-appen, en som kunde ha låtit angripare komma in på konton med ett klick.
Android TikTok-appen hade ett allvarligt säkerhetsproblem, och det var Microsoft som rapporterade det. Företaget presenterade nyligen resultaten för cybersäkerhetsgemenskapen, vilket indikerar att den allvarliga sårbarheten kunde ha gjort det möjligt för angripare att kompromissa med konton med ett enda klick. TikTok underrättades också om problemet av Microsoft, och det har sedan dess åtgärdats.
Den här specifika sårbarheten påverkade TikTok på Android version 23.7.3 och lägre, krävde att flera problem kedjades ihop för att kunna utnyttjas och användes inte i naturen, enligt Microsoft. Det betyder att ingen sannolikt har drabbats av det. Det finns faktiskt två versioner av TikTok på Android, en för Öst- och Sydostasien, och en annan för resten av världen. Microsoft gjorde en sårbarhetsbedömning och fann att båda var påverkade, vilket innebär att sårbarheten träffade totalt 1,5 miljarder installationer.
Med sårbarheten kunde dock hackare ha kapat ett Android-baserat TikTok-konto utan att användaren visste bara om användaren klickade på en enda länk. Angriparen kunde ha kommit åt den komprometterade TikTok-profilen, låtit dem se privata videor, skicka meddelanden eller ladda upp videor.
Så, vad är specifikationerna för hur denna sårbarhet kunde ha använts av en angripare? Tja, enligt Microsoft tillät TikTok Android-appen att förbigå appens djuplänksverifiering. En angripare kunde ha tvingat appen att ladda en URL till appens WebView. Detta skulle sedan ha tillåtit sidan i den URL: en att komma åt WebViews JavaScript-bryggor för att ge en hackare mer funktionalitet och 70 sätt att snabbt komma åt en användares information. Angriparen kunde också ha hämtat användarens autentiseringstokens genom att utlösa en begäran till en kontrollerad server och logga cookien och begäranshuvudena.
Microsoft skrev om just detta problem med JavaScript-bryggor i det förflutna, och en CVE-post finns tillgänglig för mer information om denna TikTok-sårbarhet. Företaget rapporterade problemet genom Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR) i februari 2022, och den lappades av TikTok en månad efter avslöjandet. Microsoft menar att denna situation är en som visar hur viktigt det är att samordna forskning och hotintelligens inom teknikindustrin.
Källa: Microsoft