Een zeer ernstige kwetsbaarheid in de TikTok Android-app is verholpen. De fout kan aanvallers in staat stellen gebruikersaccounts over te nemen door gebruikers te misleiden om op een kwaadaardige link te klikken. Ontdekt door Microsoft, de kwetsbaarheid reeds vastgesteld.
Verwante Story: High-profile TikTok-influencers gericht op phishing-campagne
Voor succesvolle exploitatie van de TikTok-fout zouden verschillende fouten samen moeten worden gewijzigd, Microsoft zei. Gelukkig, er is tot nu toe geen bewijs gevonden van in-the-wild exploits. “Aanvallers zouden de kwetsbaarheid kunnen misbruiken om een account te kapen zonder dat de gebruiker zich daarvan bewust was, als een getargete gebruiker simpelweg op een speciaal vervaardigde link had geklikt.,”Het bedrijf merkte.
Dientengevolge, aanvallers zouden TikTok-profielen kunnen wijzigen en toegang hebben tot gevoelige gegevens van gebruikers. De fout had kunnen leiden tot het publiceren van privévideo's, berichten verzenden, en het uploaden van video's namens slachtofferaccounts.
CVE-2022-28799: technisch overzicht
In technische termen, de kwetsbaarheid, nu bekend als CVE-2022-28799, toegestaan dat de deeplink-verificatie van de app werd omzeild. Dientengevolge, hackers kunnen een willekeurige URL naar de WebView van de app laden, de URL toegang geven tot de aangevallen JavaScript-bruggen van WebView.
Volgens de officiële CVE-beschrijving, de TikTok-applicatie eerder 23.7.3 voor Android staat accountovername toe. Een bewerkte URL of een niet-gevalideerde deeplink kan de com.zhiliaoapp.musically WebView dwingen een willekeurige website te laden. Door deze actie kan een dreigingsactor een bijgevoegde JavaScript-interface gebruiken voor een overnameaanval met één klik.
"We hebben eerder JavaScript-bruggen onderzocht op hun mogelijke verstrekkende implicaties. Benadrukkend het belang van voorzichtigheid bij het klikken op onbekende links, dit onderzoek laat ook zien hoe samenwerking binnen de veiligheidsgemeenschap nodig is om de verdediging van het algehele digitale ecosysteem te verbeteren," Microsoft voegde.
Na het uitvoeren van een kwetsbaarheidsanalyse van TikTok, de onderzoekers stelden vast dat de kwetsbaarheid beide smaken van TikTok voor Android trof, met meer dan 1.5 miljard installaties gecombineerd via de Google Play Store. Na de onthulling, TikTok heeft snel een fix uitgebracht voor CVE-2022-28799. TikTok-gebruikers moeten ervoor zorgen dat ze de nieuwste versie van de TikTok-app gebruiken.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: