Microsoft พบช่องโหว่ในแอพ TikTok Android

มือถือNov 14, 2023

Microsoft รายงานช่องโหว่ที่มีความรุนแรงสูงในแอป TikTok Android ช่องโหว่ที่อาจทำให้ผู้โจมตีเข้าถึงบัญชีได้ในคลิกเดียว

แอป Android TikTok มีปัญหาด้านความปลอดภัยที่ร้ายแรง และ Microsoft เป็นผู้รายงาน บริษัทเพิ่งให้รายละเอียดการค้นพบสำหรับชุมชนความปลอดภัยทางไซเบอร์ โดยระบุว่าช่องโหว่ที่มีความรุนแรงสูงอาจทำให้ผู้โจมตีสามารถโจมตีบัญชีได้ในคลิกเดียว TikTok ยังได้รับแจ้งถึงปัญหานี้จาก Microsoft และได้รับการแก้ไขตั้งแต่นั้นมา

ช่องโหว่เฉพาะนี้ส่งผลกระทบต่อ TikTok บน Android เวอร์ชัน 23.7.3 และต่ำกว่า จำเป็นต้องมีปัญหาหลายประการที่ต้องเชื่อมโยงเข้าด้วยกันเพื่อใช้ประโยชน์ และไม่ได้ถูกใช้อย่างแพร่หลาย ตามข้อมูลของ Microsoft ซึ่งหมายความว่าไม่มีใครมีแนวโน้มที่จะได้รับผลกระทบจากสิ่งนี้ จริงๆ แล้วมี TikTok อยู่ 2 เวอร์ชันบน Android เวอร์ชันหนึ่งสำหรับเอเชียตะวันออกและเอเชียตะวันออกเฉียงใต้ และอีกเวอร์ชันสำหรับส่วนที่เหลือของโลก Microsoft ดำเนินการประเมินช่องโหว่และพบว่าทั้งสองได้รับผลกระทบ ซึ่งหมายความว่ามีการติดตั้งช่องโหว่ดังกล่าวแล้วทั้งหมด 1.5 พันล้านครั้ง

ด้วยช่องโหว่นี้ แฮกเกอร์อาจขโมยบัญชี TikTok ที่ใช้ Android โดยที่ผู้ใช้ไม่รู้ว่าผู้ใช้คลิกลิงก์เดียวหรือไม่ ผู้โจมตีอาจเข้าถึงโปรไฟล์ TikTok ที่ถูกบุกรุก ทำให้พวกเขาดูวิดีโอส่วนตัว ส่งข้อความ หรืออัปโหลดวิดีโอได้

ดังนั้น อะไรคือข้อมูลเฉพาะเจาะจงว่าผู้โจมตีสามารถใช้ช่องโหว่นี้ได้อย่างไร? ตามข้อมูลของ Microsoft แอป TikTok สำหรับ Android อนุญาตให้ข้ามการตรวจสอบ Deep Link ของแอปได้ ผู้โจมตีอาจบังคับให้แอปโหลด URL ไปยัง WebView ของแอป จากนั้นจะอนุญาตให้เพจใน URL นั้นเข้าถึงบริดจ์ JavaScript ของ WebView เพื่อให้แฮ็กเกอร์มีฟังก์ชันการทำงานมากขึ้นและ 70 วิธีในการเข้าถึงข้อมูลของผู้ใช้อย่างรวดเร็ว ผู้โจมตีอาจเรียกข้อมูลโทเค็นการรับรองความถูกต้องของผู้ใช้โดยเรียกใช้คำขอไปยังเซิร์ฟเวอร์ที่ได้รับการควบคุมและบันทึกคุกกี้และส่วนหัวของคำขอ

ไมโครซอฟต์ เขียนเกี่ยวกับปัญหาบริดจ์ JavaScript นี้ ในอดีตและ รายการ CVE มีให้สำหรับข้อมูลเฉพาะเพิ่มเติมเกี่ยวกับช่องโหว่ของ TikTok นี้ บริษัทรายงานปัญหาดังกล่าวผ่านทาง Coordinated Vulnerability Disclosure (CVD) ผ่าน Microsoft Security Vulnerability Research (เอ็มเอสวีอาร์) ในเดือนกุมภาพันธ์ปี 2022 และ TikTok ได้รับการติดตั้งหนึ่งเดือนหลังจากการเปิดเผย Microsoft ถือว่าสถานการณ์นี้เป็นสถานการณ์ที่แสดงให้เห็นว่าการประสานงานการวิจัยและข้อมูลภัยคุกคามในอุตสาหกรรมเทคโนโลยีมีความสำคัญเพียงใด

แหล่งที่มา: ไมโครซอฟต์