Uma vulnerabilidade de alta gravidade no aplicativo TikTok para Android foi corrigida. A falha pode permitir que invasores assumam contas de usuários, enganando os usuários a clicar em um link malicioso. Descoberto pela Microsoft, a vulnerabilidade já foi corrigida.
Story relacionado: Influenciadores de alto nível do TikTok direcionados para campanha de phishing
A exploração bem-sucedida da falha do TikTok exigiria que várias falhas fossem alteradas juntas, Microsoft disse. Felizmente, nenhuma evidência de explorações selvagens foi descoberta até agora. “Os invasores poderiam ter aproveitado a vulnerabilidade para sequestrar uma conta sem o conhecimento dos usuários se um usuário-alvo simplesmente clicasse em um link especialmente criado,”A empresa observou.
Como um resultado, os invasores poderiam modificar os perfis do TikTok e acessar os detalhes confidenciais dos usuários. A falha pode ter levado à divulgação de vídeos privados, enviando mensagens, e upload de vídeos em nome de contas vitimadas.
CVE-2022-28799: Visão geral técnica
Em termos técnicos, a vulnerabilidade, agora conhecido como CVE-2022-28799, permitiu que a verificação de link direto do aplicativo fosse contornada. Como um resultado, hackers podem carregar um URL arbitrário para o WebView do aplicativo, permitindo que o URL acesse as pontes JavaScript atacadas do WebView.
De acordo com a descrição oficial do CVE, o aplicativo TikTok antes 23.7.3 para Android permite o controle de contas. Um URL criado ou um deeplink não validado pode forçar o WebView com.zhiliaoapp.musically a carregar um site arbitrário. Essa ação pode permitir que um agente de ameaças aproveite uma interface JavaScript anexada para um ataque de controle de um clique.
“Nós já pesquisamos pontes JavaScript para suas potenciais implicações de amplo alcance. Enfatizando a importância de ter cuidado ao clicar em links desconhecidos, esta pesquisa também mostra como a colaboração dentro da comunidade de segurança é necessária para melhorar as defesas do ecossistema digital geral,” A Microsoft adicionou.
Depois de realizar uma avaliação de vulnerabilidade do TikTok, os pesquisadores determinaram que a vulnerabilidade afetou os dois tipos de TikTok para Android, Com mais de 1.5 bilhões de instalações combinadas através da Google Play Store. Após a divulgação, TikTok lançou rapidamente uma correção para CVE-2022-28799. Os usuários do TikTok devem garantir que estão usando a versão mais recente do aplicativo TikTok.