Eine Schwachstelle mit hohem Schweregrad in der TikTok-Android-App wurde behoben. Der Fehler könnte es Angreifern ermöglichen, Benutzerkonten zu übernehmen, indem Benutzer dazu verleitet werden, auf einen schädlichen Link zu klicken. Von Microsoft entdeckt, die Sicherheitslücke bereits behoben.
ähnliche Geschichte: Hochkarätige TikTok-Influencer im Visier der Phishing-Kampagne
Eine erfolgreiche Ausnutzung des TikTok-Fehlers hätte die gemeinsame Änderung mehrerer Fehler erfordert, Microsoft sagte,. Zum Glück, Bisher wurden keine Beweise für Exploits in freier Wildbahn entdeckt. „Angreifer hätten die Schwachstelle ausnutzen können, um ein Konto ohne das Wissen der Benutzer zu hijacken, wenn ein Zielbenutzer einfach auf einen speziell gestalteten Link geklickt hätte,“Das Unternehmen darauf hingewiesen,.
Infolge, Angreifer wären in der Lage gewesen, TikTok-Profile zu modifizieren und auf sensible Details der Benutzer zuzugreifen. Der Fehler hätte zur Veröffentlichung privater Videos führen können, Nachrichten senden, und das Hochladen von Videos im Namen von Opferkonten.
CVE-2022-28799: technischer Überblick
In technischer Hinsicht, die Verwundbarkeit, jetzt bekannt als CVE-2022-28799, ermöglichte die Umgehung der Deeplink-Verifizierung der App. Infolge, Hacker könnten eine beliebige URL in die WebView der App laden, Erlauben der URL, auf die angegriffenen JavaScript-Bridges von WebView zuzugreifen.
Gemäß der offiziellen CVE-Beschreibung, die TikTok-Anwendung vor 23.7.3 für Android ermöglicht die Kontoübernahme. Eine manipulierte URL oder ein nicht validierter Deeplink könnte das com.zhiliaoapp.musically WebView zwingen, eine beliebige Website zu laden. Diese Aktion könnte es einem Bedrohungsakteur außerdem ermöglichen, eine angehängte JavaScript-Schnittstelle für einen Übernahmeangriff mit einem Klick zu nutzen.
„Wir haben zuvor JavaScript-Bridges auf ihre möglichen weitreichenden Auswirkungen hin untersucht. Betonung der Wichtigkeit, beim Klicken auf unbekannte Links Vorsicht walten zu lassen, Diese Forschung zeigt auch, wie notwendig die Zusammenarbeit innerhalb der Sicherheitsgemeinschaft ist, um die Verteidigung für das gesamte digitale Ökosystem zu verbessern," Microsoft hinzugefügt.
Nach Durchführung einer Schwachstellenanalyse von TikTok, Die Forscher stellten fest, dass die Schwachstelle beide Varianten von TikTok für Android betraf, mit mehr als 1.5 Milliarden Installationen kombiniert über den Google Play Store. Nach der Enthüllung, TikTok hat schnell einen Fix für CVE-2022-28799 veröffentlicht. TikTok-Benutzer sollten sicherstellen, dass sie die neueste Version der TikTok-App verwenden.