En høj alvorlig sårbarhed i TikTok Android-appen er blevet rettet. Fejlen kan gøre det muligt for angribere at overtage brugerkonti ved at narre brugere til at klikke på et ondsindet link. Opdaget af Microsoft, sårbarheden er allerede rettet.
relaterede Story: Højprofilerede TikTok-influencers målrettet i phishing-kampagne
En vellykket udnyttelse af TikTok-fejlen ville have krævet, at flere fejl blev ændret sammen, Microsoft sagde. Heldigvis, ingen beviser for i-the-wild bedrifter er blevet opdaget indtil videre. "Angribere kunne have udnyttet sårbarheden til at kapre en konto uden brugernes bevidsthed, hvis en målrettet bruger blot klikkede på et specielt udformet link,”Selskabet bemærkede.
Som et resultat, angribere ville have været i stand til at ændre TikTok-profiler og få adgang til brugernes følsomme detaljer. Fejlen kunne have ført til offentliggørelse af private videoer, at sende beskeder, og upload af videoer på vegne af ofre konti.
CVE-2022-28799: Teknisk oversigt
I tekniske termer, sårbarheden, nu kendt som CVE-2022-28799, gjorde det muligt at omgå appens deeplink-bekræftelse. Som et resultat, hackere kunne indlæse en vilkårlig URL til appens WebView, giver URL'en adgang til WebViews angrebne JavaScript-broer.
I henhold til den officielle CVE-beskrivelse, TikTok-applikationen før 23.7.3 til Android tillader kontoovertagelse. En udformet URL eller et uvalideret dybt link kan tvinge com.zhiliaoapp.musically WebView til at indlæse et vilkårligt websted. Denne handling kan yderligere gøre det muligt for en trusselaktør at udnytte en vedhæftet JavaScript-grænseflade til et overtagelsesangreb med et enkelt klik.
"Vi har tidligere undersøgt JavaScript-broer for deres potentielle vidtrækkende implikationer. Understreger vigtigheden af at udvise forsigtighed, når du klikker på ukendte links, denne forskning viser også, hvordan samarbejde inden for sikkerhedssamfundet er nødvendigt for at forbedre forsvaret for det overordnede digitale økosystem," Microsoft tilføjede.
Efter at have udført en sårbarhedsvurdering af TikTok, forskerne fastslog, at sårbarheden påvirkede begge varianter af TikTok til Android, med mere end 1.5 milliarder installationer samlet via Google Play Butik. Efter afsløringen, TikTok frigav hurtigt en rettelse til CVE-2022-28799. TikTok-brugere bør sikre sig, at de bruger den nyeste version af TikTok-appen.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: