Microsoft, TikTok Android uygulamasında, saldırganların tek tıklamayla hesaplara girmesine izin verebilecek yüksek önemde bir güvenlik açığı bildirdi.
Android TikTok uygulamasında ciddi bir güvenlik sorunu vardı ve bunu bildiren de Microsoft oldu. Şirket kısa süre önce siber güvenlik topluluğu için bulguları ayrıntılı olarak açıkladı ve yüksek önemdeki güvenlik açığının, saldırganların tek bir tıklamayla hesapların güvenliğini aşmasına izin verebileceğini belirtti. TikTok da sorun hakkında Microsoft tarafından bilgilendirildi ve o zamandan beri yama uygulandı.
Microsoft'a göre bu özel güvenlik açığı, TikTok'un Android 23.7.3 ve önceki sürümlerini etkiledi, birkaç sorunun bir araya getirilmesini gerektirdi ve vahşi doğada kullanılmadı. Bu, kimsenin bundan etkilenmeyeceği anlamına gelir. Aslında Android'de TikTok'un iki sürümü var; biri Doğu ve Güneydoğu Asya için, diğeri dünyanın geri kalanı için. Microsoft bir güvenlik açığı değerlendirmesi gerçekleştirdi ve her ikisinin de etkilendiğini tespit etti; bu, güvenlik açığının toplam 1,5 milyar kurulumu etkilediği anlamına geliyor.
Ancak bu güvenlik açığı nedeniyle bilgisayar korsanları, kullanıcının tek bir bağlantıya tıklayıp tıklamadığını bilmeden Android tabanlı bir TikTok hesabını ele geçirmiş olabilir. Saldırgan, ele geçirilen TikTok profiline erişerek özel videoları görmelerine, mesaj göndermelerine veya video yüklemelerine izin vermiş olabilir.
Peki bu güvenlik açığının bir saldırgan tarafından nasıl kullanılmış olabileceğine ilişkin ayrıntılar nelerdir? Microsoft'a göre TikTok Android uygulaması, uygulamanın derin bağlantı doğrulamasının atlanmasına izin verdi. Bir saldırgan, uygulamayı uygulamanın Web Görünümüne bir URL yüklemeye zorlamış olabilir. Bu, daha sonra söz konusu URL'deki sayfanın, bir bilgisayar korsanına daha fazla işlevsellik ve kullanıcının bilgilerine hızlı bir şekilde erişmesi için 70 yol sağlamak üzere Web Görünümü'nün JavaScript köprülerine erişmesine izin verirdi. Saldırgan, kontrollü bir sunucuya istek tetikleyerek ve çerez ile istek başlıklarını günlüğe kaydederek kullanıcının kimlik doğrulama belirteçlerini de almış olabilir.
Microsoft bu JavaScript köprüleri sorunu hakkında yazdı geçmişte ve CVE girişi Bu TikTok güvenlik açığıyla ilgili daha fazla ayrıntı için kullanılabilir. Şirket, sorunu Microsoft Güvenlik Açığı Araştırması aracılığıyla Koordineli Güvenlik Açığı Açıklaması (CVD) aracılığıyla bildirdi (MSVR) Şubat 2022'de ve açıklamanın ardından bir ay sonra TikTok tarafından yamalandı. Microsoft, bu durumun teknoloji endüstrisinde araştırma ve tehdit istihbaratını koordine etmenin ne kadar önemli olduğunu gösteren bir durum olduğunu düşünüyor.
Kaynak: Microsoft