Una vulnerabilità di alta gravità nell'app TikTok per Android è stata risolta. Il difetto potrebbe consentire agli aggressori di impossessarsi degli account utente inducendo gli utenti a fare clic su un collegamento dannoso. Scoperto da Microsoft, la vulnerabilità è già stata fissata.
Story correlati: Influencer TikTok di alto profilo presi di mira nella campagna di phishing
Il corretto sfruttamento del difetto di TikTok avrebbe richiesto la modifica di diversi difetti insieme, Microsoft ha detto. Per fortuna, finora non è stata scoperta alcuna prova di exploit in natura. "Gli aggressori avrebbero potuto sfruttare la vulnerabilità per dirottare un account senza la consapevolezza degli utenti se un utente mirato ha semplicemente fatto clic su un collegamento appositamente predisposto,”La società ha osservato.
Di conseguenza, gli aggressori sarebbero stati in grado di modificare i profili di TikTok e accedere ai dettagli sensibili degli utenti. Il difetto avrebbe potuto portare a pubblicizzare video privati, invio di messaggi, e caricare video per conto di account vittime.
CVE-2022-28799: Panoramica tecnica
In termini tecnici, la vulnerabilità, ora noto come CVE-2022-28799, consentito di aggirare la verifica del deeplink dell'app. Di conseguenza, gli hacker potrebbero caricare un URL arbitrario nella visualizzazione Web dell'app, consentendo all'URL di accedere ai bridge JavaScript attaccati da WebView.
Secondo la descrizione ufficiale CVE, l'applicazione TikTok prima 23.7.3 per Android consente l'acquisizione dell'account. Un URL creato o un deeplink non convalidato potrebbero costringere com.zhiliaoapp.musically WebView a caricare un sito Web arbitrario. Questa azione potrebbe inoltre consentire a un attore di minacce di sfruttare un'interfaccia JavaScript collegata per un attacco di acquisizione con un clic.
“In precedenza abbiamo studiato i bridge JavaScript per le loro potenziali implicazioni di ampia portata. Sottolineando l'importanza di esercitare cautela quando si fa clic su collegamenti sconosciuti, questa ricerca mostra anche come la collaborazione all'interno della comunità della sicurezza sia necessaria per migliorare le difese per l'intero ecosistema digitale," Microsoft ha aggiunto.
Dopo aver effettuato una valutazione della vulnerabilità di TikTok, i ricercatori hanno stabilito che la vulnerabilità interessava entrambe le versioni di TikTok per Android, con oltre 1.5 miliardi di installazioni combinate tramite il Google Play Store. A seguito della divulgazione, TikTok ha rilasciato rapidamente una correzione per CVE-2022-28799. Gli utenti di TikTok devono assicurarsi di utilizzare l'ultima versione dell'app TikTok.