Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz
Bitdefender
  • 0

AktualnościBlogMedia Społecznościowe

Microsoft ujawnia lukę w aplikacji TikTok

Damian

Damian S

2 września 2022

Badacze Microsoft odkryli, że aplikacja TikTok na Androida zawierała krytyczną lukę, którą przestępcy mogli wykorzystać do przejęcia kont użytkowników.

Telefon z włączoną aplikacją TikTok

Luka polegała na użyciu spreparowanego adresu URL, aby ominąć mechanizm weryfikacji precyzyjnych linków aplikacji i zmusić komponent WebView aplikacji do załadowania dowolnego adresu URL.

Niebezpieczeństwo związane z luką

Luka może pozwolić cyberprzestępcom na przejęcie konta jednym kliknięciem dzięki wykorzystaniu dołączonego interfejsu JavaScript. Błąd, śledzony jako CVE-2022-28799, dotyczy starszych wersji aplikacji TikTok (23.7.3 i starsze).

Pomimo ogromnego potencjału destrukcyjnego luki, Microsoft nie ma dowodów na to, że przestępcy faktycznie wykorzystali ją do przeprowadzenia jakichkolwiek ataków.

„Luka, która wymagała połączenia kilku problemów w celu wykorzystania, została naprawiona i nie znaleźliśmy żadnych dowodów na wykorzystywanie w środowisku naturalnym” — czytamy w biuletynie Microsoftu. „Atakujący mogli wykorzystać lukę w zabezpieczeniach do przejęcia konta bez wiedzy użytkowników, gdyby docelowy użytkownik po prostu kliknął specjalnie spreparowany link. Atakujący mogli wtedy uzyskać dostęp i zmodyfikować profile użytkowników TikTok i poufne informacje, na przykład poprzez publikowanie prywatnych filmów, wysyłanie wiadomości i przesyłanie filmów w imieniu użytkowników”.

Zespół badawczy firmy wskazał, że ponad 70 ujawnionych metod można przywołać poprzez wstrzyknięcie kodu JavaScript do stron internetowych ładowanych przez WebView. Podmioty zagrażające mogą wykorzystać metody do różnych efektów, takich jak modyfikowanie prywatnych danych użytkownika i wykonywanie uwierzytelnionych żądań HTTP do dowolnych adresów URL.

Cyberprzestępcy mogli wykorzystać ujawnioną lukę w zabezpieczeniach omijania weryfikacji za pomocą linków precyzyjnych w połączeniu z metodą uwierzytelniania żądania HTTP, aby złamać zabezpieczenia kont TikTok.

Eksperci ustalili, że luka dotyczyła obu wersji TikTok: wydania z Azji Wschodniej i Południowo-Wschodniej (com.ss.android.ugc.trill) oraz globalnej (com.zhilliaoap.musically). W samym Sklepie Play Google aplikacje mają łącznie 1,5 miliarda instalacji.

Zalecenia specjalistów z Microsoftu

TikTok został poinformowany o błędzie w lutym 2022 roku i szybko wydał poprawkę. Firma Microsoft wydała krótką listę zaleceń dotyczących ochrony przed tym atakiem i podobnymi:

  • Unikanie instalowania aplikacji z nieznanych źródeł
  • Aktualizowanie urządzenia i zainstalowanych aplikacji
  • Unikanie klikania linków z niezaufanych źródeł
  • Zgłaszanie dostawcy wszelkich podejrzanych działań w aplikacji

Wyspecjalizowane rozwiązania, takie jak Bitdefender Mobile Security, mogą pomóc w odpieraniu nowych i istniejących zagrożeń bezpieczeństwa dzięki funkcjom takim jak:

  • Skaner złośliwego oprogramowania
  • Moduł ochrony sieci, który skanuje strony internetowe i ostrzega przed potencjalnie niebezpieczną zawartością
  • Wykrywanie ataków na łączach
  • Doradca ds. bezpieczeństwa
  • Moduł prywatności konta, który sprawdza, czy Twoje konta nie zostały naruszone w wyniku naruszenia danych
    Skaner urządzeń, który automatycznie sprawdza nowo zainstalowane aplikacje

Ochroń się przed lukami w oprogramowaniu

Bitdefender Mobile Security

 


Autor


Damian

Damian S

Należę do działu Webmasterów. Do moich zadań należy tworzenie, poprawianie i pozycjonowanie nowych stron i wpisów na blogu. Aktualnie dalej jestem na etapie kształcenia się jako informatyk. W wolnym czasie dokształcam się w zakresie kolejnych języków programowania i uczę się tworzenia aplikacji mobilnych. W weekendy lubię zrelaksować się wędkując.

Zobacz posty autora


Artykuły które mogą Ci się spodobać

×

Informacje o bezpieczeństwie produktu (GPSR)

Producent

Bitdefender

Nazwa własna: Bitdefender
Adres: 15A Orhideelor Road, Orhideea Towers
060071 Bukareszt, 6. Dzielnica
Rumunia

Kontakt:
https://www.bitdefender.com/consumer/support/help/
Contact Support - Bitdefender

Ostrzeżenia dotyczące bezpieczeństwa

Lista ostrzeżeń dotyczących bezpieczeństwa antywirusów i bezpieczeństwa oparta o wymagania Rozporządzenia (UE) 2023/988 w sprawie ogólnego bezpieczeństwa produktów (GPSR).

Oprogramowanie antywirusowe i zabezpieczające to szeroka kategoria produktów, dlatego poniższe ostrzeżenia mają charakter ogólny i mogą nie odnosić się do wszystkich konkretnych produktów.

Instrukcja bezpieczeństwa dla programów antywirusowych i zabezpieczających

1. Wybór odpowiedniego oprogramowania

  • Wybieraj programy z uznanych źródeł, takich jak oficjalne strony producentów.
  • Zwracaj uwagę na oceny i recenzje użytkowników oraz niezależnych organizacji zajmujących się testowaniem oprogramowania.

2. Aktualizacje

  • Regularnie aktualizuj programy antywirusowe i zabezpieczające, aby mieć pewność, że są one chronione przed najnowszymi zagrożeniami.
  • Włącz automatyczne aktualizacje, jeśli to możliwe.

3. Skanowanie systemu

  • Przeprowadzaj regularne skanowania całego systemu w celu wykrycia potencjalnych zagrożeń.
  • Ustaw harmonogram skanowania, aby nie zapomnieć o tej czynności.

4. Ochrona w czasie rzeczywistym

  • Upewnij się, że funkcja ochrony w czasie rzeczywistym jest włączona, aby zminimalizować ryzyko infekcji.
  • Monitoruj aktywność programu antywirusowego i reaguj na wszelkie zgłoszone zagrożenia.

5. Bezpieczeństwo Internetu

  • Korzystaj z dodatkowych funkcji, takich jak zapory ogniowe i filtry ochrony prywatności.
  • Bądź ostrożny przy pobieraniu plików oraz wchodzeniu na nieznane strony internetowe.

6. Zarządzanie dostępem

  • Ogranicz dostęp do programów zabezpieczających tylko do zaufanych użytkowników.
  • Używaj silnych haseł do kont związanych z oprogramowaniem zabezpieczającym.

7. Edukacja użytkowników

  • Przeszkol wszystkich użytkowników korzystających z systemu w zakresie bezpieczeństwa.
  • Wprowadź zasady dotyczące rozpoznawania potencjalnych zagrożeń, takich jak phishing.

8. Tworzenie kopii zapasowych

  • Regularnie twórz kopie zapasowe ważnych danych, aby w razie infekcji móc przywrócić system do stanu przed atakiem.
  • Upewnij się, że kopie zapasowe są przechowywane w bezpiecznym miejscu, oddzielonym od głównego systemu.

9. Reakcja na zagrożenia

  • W przypadku wykrycia zagrożenia, niezwłocznie postępuj zgodnie z instrukcjami programu antywirusowego.
  • Rozważ konsultację z profesjonalnym serwisem w sytuacji poważnych infekcji.

10. Zgłaszanie problemów

  • Zgłaszaj wszelkie nieprawidłowości lub problemy z działaniem oprogramowania do odpowiednich kanałów wsparcia technicznego.

Przestrzeganie powyższych wytycznych pomoże w skutecznej ochronie systemu przed zagrożeniami oraz w zapewnieniu bezpieczeństwa danych.