Badacze Microsoft odkryli, że aplikacja TikTok na Androida zawierała krytyczną lukę, którą przestępcy mogli wykorzystać do przejęcia kont użytkowników.
Luka polegała na użyciu spreparowanego adresu URL, aby ominąć mechanizm weryfikacji precyzyjnych linków aplikacji i zmusić komponent WebView aplikacji do załadowania dowolnego adresu URL.
Niebezpieczeństwo związane z luką
Luka może pozwolić cyberprzestępcom na przejęcie konta jednym kliknięciem dzięki wykorzystaniu dołączonego interfejsu JavaScript. Błąd, śledzony jako CVE-2022-28799, dotyczy starszych wersji aplikacji TikTok (23.7.3 i starsze).
Pomimo ogromnego potencjału destrukcyjnego luki, Microsoft nie ma dowodów na to, że przestępcy faktycznie wykorzystali ją do przeprowadzenia jakichkolwiek ataków.
„Luka, która wymagała połączenia kilku problemów w celu wykorzystania, została naprawiona i nie znaleźliśmy żadnych dowodów na wykorzystywanie w środowisku naturalnym” — czytamy w biuletynie Microsoftu. „Atakujący mogli wykorzystać lukę w zabezpieczeniach do przejęcia konta bez wiedzy użytkowników, gdyby docelowy użytkownik po prostu kliknął specjalnie spreparowany link. Atakujący mogli wtedy uzyskać dostęp i zmodyfikować profile użytkowników TikTok i poufne informacje, na przykład poprzez publikowanie prywatnych filmów, wysyłanie wiadomości i przesyłanie filmów w imieniu użytkowników”.
Zespół badawczy firmy wskazał, że ponad 70 ujawnionych metod można przywołać poprzez wstrzyknięcie kodu JavaScript do stron internetowych ładowanych przez WebView. Podmioty zagrażające mogą wykorzystać metody do różnych efektów, takich jak modyfikowanie prywatnych danych użytkownika i wykonywanie uwierzytelnionych żądań HTTP do dowolnych adresów URL.
Cyberprzestępcy mogli wykorzystać ujawnioną lukę w zabezpieczeniach omijania weryfikacji za pomocą linków precyzyjnych w połączeniu z metodą uwierzytelniania żądania HTTP, aby złamać zabezpieczenia kont TikTok.
Eksperci ustalili, że luka dotyczyła obu wersji TikTok: wydania z Azji Wschodniej i Południowo-Wschodniej (com.ss.android.ugc.trill) oraz globalnej (com.zhilliaoap.musically). W samym Sklepie Play Google aplikacje mają łącznie 1,5 miliarda instalacji.
Zalecenia specjalistów z Microsoftu
TikTok został poinformowany o błędzie w lutym 2022 roku i szybko wydał poprawkę. Firma Microsoft wydała krótką listę zaleceń dotyczących ochrony przed tym atakiem i podobnymi:
Unikanie instalowania aplikacji z nieznanych źródeł
Aktualizowanie urządzenia i zainstalowanych aplikacji
Unikanie klikania linków z niezaufanych źródeł
Zgłaszanie dostawcy wszelkich podejrzanych działań w aplikacji
Wyspecjalizowane rozwiązania, takie jak Bitdefender Mobile Security, mogą pomóc w odpieraniu nowych i istniejących zagrożeń bezpieczeństwa dzięki funkcjom takim jak:
Skaner złośliwego oprogramowania
Moduł ochrony sieci, który skanuje strony internetowe i ostrzega przed potencjalnie niebezpieczną zawartością
Wykrywanie ataków na łączach
Doradca ds. bezpieczeństwa
Moduł prywatności konta, który sprawdza, czy Twoje konta nie zostały naruszone w wyniku naruszenia danych Skaner urządzeń, który automatycznie sprawdza nowo zainstalowane aplikacje
Należę do działu Webmasterów. Do moich zadań należy tworzenie, poprawianie i pozycjonowanie nowych stron i wpisów na blogu. Aktualnie dalej jestem na etapie kształcenia się jako informatyk.
W wolnym czasie dokształcam się w zakresie kolejnych języków programowania i uczę się tworzenia aplikacji mobilnych. W weekendy lubię zrelaksować się wędkując.