TikTok Android アプリの重大度の高い脆弱性が修正されました. この脆弱性により、攻撃者はユーザーをだまして悪意のあるリンクをクリックさせることで、ユーザー アカウントを乗っ取ることができる可能性があります。. マイクロソフトが発見, 脆弱性はすでに修正されています.
関連記事: フィッシングキャンペーンの標的となった有名なTikTokインフルエンサー
TikTok の脆弱性の悪用に成功するには、いくつかの脆弱性を一緒に変更する必要がありました。, マイクロソフトは言った. 幸運, これまでのところ、悪用が行われている証拠は発見されていません. 「攻撃者はこの脆弱性を利用して、標的のユーザーが特別に細工されたリンクをクリックしただけで、ユーザーの気付かないうちにアカウントを乗っ取った可能性があります。,」と同社は述べた.
結果として, 攻撃者は TikTok プロファイルを変更し、ユーザーの機密情報にアクセスできたはずです. この欠陥により、非公開の動画が公開される可能性がありました, メッセージの送信, 被害を受けたアカウントに代わって動画をアップロードする.
CVE-2022-28799: 技術概要
技術用語で, 脆弱性, 現在は CVE-2022-28799 として知られています, アプリのディープリンク検証を回避できるようにしました. 結果として, ハッカーは、アプリの WebView に任意の URL をロードする可能性があります, URL が WebView の攻撃された JavaScript ブリッジにアクセスできるようにする.
公式のCVEの説明によると, 前にTikTokアプリケーション 23.7.3 Android の場合、アカウントの乗っ取りが許可されます. 巧妙に細工された URL または検証されていないディープリンクにより、com.zhiliaoapp.musically WebView が任意の Web サイトをロードする可能性があります. このアクションにより、攻撃者はさらに、添付された JavaScript インターフェースを利用して、ワンクリック テイクオーバー攻撃を実行できるようになる可能性があります。.
「私たちは以前、JavaScript ブリッジが広範囲に影響を与える可能性について調査しました。. 不明なリンクをクリックする際の注意の重要性を強調する, この調査では、デジタル エコシステム全体の防御を強化するために、セキュリティ コミュニティ内でのコラボレーションがどのように必要であるかも示されています。,」 マイクロソフトは追加しました.
TikTokの脆弱性評価実施後, 研究者は、脆弱性が Android 用 TikTok の両方のフレーバーに影響を与えると判断しました, 以上で 1.5 Google Play ストア経由で合わせて 10 億回のインストール. 開示後, TikTok はすぐに CVE-2022-28799 の修正をリリースしました. TikTok ユーザーは、TikTok アプリの最新バージョンを使用していることを確認する必要があります.