Корпорація Майкрософт повідомила про серйозну вразливість у Android-додатку TikTok, яка могла дозволити зловмисникам отримати доступ до облікових записів одним кліком.
Додаток TikTok для Android мав серйозну проблему з безпекою, і Microsoft повідомила про це. Нещодавно компанія детально оприлюднила висновки для спільноти кібербезпеки, вказуючи на те, що вразливість високого ступеня серйозності могла дозволити зловмисникам скомпрометувати облікові записи в один клік. Корпорація Майкрософт також повідомила TikTok про проблему, і з тих пір її виправили.
Ця конкретна вразливість вплинула на TikTok на Android версії 23.7.3 і старіших, вимагала об’єднання кількох проблем, щоб використовувати її, і не використовувалася в дикій природі, за словами Microsoft. Це означає, що це, швидше за все, нікого не постраждало. Фактично існує дві версії TikTok на Android: одна для Східної та Південно-Східної Азії, а інша для решти світу. Корпорація Майкрософт провела оцінку вразливості та виявила, що обидва були вражені, тобто вразливість вразила загалом 1,5 мільярда установок.
Однак завдяки цій уразливості хакери могли зламати обліковий запис TikTok на базі Android, не знаючи користувача, чи натиснув він одне посилання. Зловмисник міг отримати доступ до зламаного профілю TikTok, дозволивши йому переглядати приватні відео, надсилати повідомлення або завантажувати відео.
Отже, які особливості того, як ця вразливість могла бути використана зловмисником? Що ж, за словами Microsoft, програма TikTok для Android дозволила обійти перевірку глибокого посилання програми. Зловмисник міг змусити програму завантажити URL-адресу до WebView програми. Тоді це дозволило б сторінці за цією URL-адресою отримати доступ до мостів JavaScript WebView, щоб надати хакеру більше функцій і 70 способів швидкого доступу до інформації користувача. Зловмисник також міг отримати маркери автентифікації користувача, ініціювавши запит на контрольований сервер і зареєструвавши файл cookie та заголовки запиту.
Microsoft написав про цю саму проблему мостів JavaScript в минулому, і запис CVE доступна для отримання додаткової інформації щодо цієї вразливості TikTok. Компанія повідомила про проблему за допомогою координованого розкриття вразливостей (CVD) через Microsoft Security Vulnerability Research (MSVR) у лютому 2022 року, і TikTok виправив його через місяць після розкриття. Microsoft вважає, що ця ситуація показує, наскільки важливо координувати дослідження та розвідку про загрози в індустрії технологій.
Джерело: Microsoft