Microsoft ujawnia lukę w aplikacji TikTok

Badacze Microsoft odkryli, że aplikacja TikTok na Androida zawierała krytyczną lukę, którą przestępcy mogli wykorzystać do przejęcia kont użytkowników.

Telefon z włączoną aplikacją TikTok

Luka polegała na użyciu spreparowanego adresu URL, aby ominąć mechanizm weryfikacji precyzyjnych linków aplikacji i zmusić komponent WebView aplikacji do załadowania dowolnego adresu URL.

Niebezpieczeństwo związane z luką

Luka może pozwolić cyberprzestępcom na przejęcie konta jednym kliknięciem dzięki wykorzystaniu dołączonego interfejsu JavaScript. Błąd, śledzony jako CVE-2022-28799, dotyczy starszych wersji aplikacji TikTok (23.7.3 i starsze).

Pomimo ogromnego potencjału destrukcyjnego luki, Microsoft nie ma dowodów na to, że przestępcy faktycznie wykorzystali ją do przeprowadzenia jakichkolwiek ataków.

„Luka, która wymagała połączenia kilku problemów w celu wykorzystania, została naprawiona i nie znaleźliśmy żadnych dowodów na wykorzystywanie w środowisku naturalnym” — czytamy w biuletynie Microsoftu. „Atakujący mogli wykorzystać lukę w zabezpieczeniach do przejęcia konta bez wiedzy użytkowników, gdyby docelowy użytkownik po prostu kliknął specjalnie spreparowany link. Atakujący mogli wtedy uzyskać dostęp i zmodyfikować profile użytkowników TikTok i poufne informacje, na przykład poprzez publikowanie prywatnych filmów, wysyłanie wiadomości i przesyłanie filmów w imieniu użytkowników”.

Zespół badawczy firmy wskazał, że ponad 70 ujawnionych metod można przywołać poprzez wstrzyknięcie kodu JavaScript do stron internetowych ładowanych przez WebView. Podmioty zagrażające mogą wykorzystać metody do różnych efektów, takich jak modyfikowanie prywatnych danych użytkownika i wykonywanie uwierzytelnionych żądań HTTP do dowolnych adresów URL.

Cyberprzestępcy mogli wykorzystać ujawnioną lukę w zabezpieczeniach omijania weryfikacji za pomocą linków precyzyjnych w połączeniu z metodą uwierzytelniania żądania HTTP, aby złamać zabezpieczenia kont TikTok.

Eksperci ustalili, że luka dotyczyła obu wersji TikTok: wydania z Azji Wschodniej i Południowo-Wschodniej (com.ss.android.ugc.trill) oraz globalnej (com.zhilliaoap.musically). W samym Sklepie Play Google aplikacje mają łącznie 1,5 miliarda instalacji.

Zalecenia specjalistów z Microsoftu

TikTok został poinformowany o błędzie w lutym 2022 roku i szybko wydał poprawkę. Firma Microsoft wydała krótką listę zaleceń dotyczących ochrony przed tym atakiem i podobnymi:

  • Unikanie instalowania aplikacji z nieznanych źródeł
  • Aktualizowanie urządzenia i zainstalowanych aplikacji
  • Unikanie klikania linków z niezaufanych źródeł
  • Zgłaszanie dostawcy wszelkich podejrzanych działań w aplikacji

Wyspecjalizowane rozwiązania, takie jak Bitdefender Mobile Security, mogą pomóc w odpieraniu nowych i istniejących zagrożeń bezpieczeństwa dzięki funkcjom takim jak:

  • Skaner złośliwego oprogramowania
  • Moduł ochrony sieci, który skanuje strony internetowe i ostrzega przed potencjalnie niebezpieczną zawartością
  • Wykrywanie ataków na łączach
  • Doradca ds. bezpieczeństwa
  • Moduł prywatności konta, który sprawdza, czy Twoje konta nie zostały naruszone w wyniku naruszenia danych
    Skaner urządzeń, który automatycznie sprawdza nowo zainstalowane aplikacje

Ochroń się przed lukami w oprogramowaniu

Bitdefender Mobile Security

 

guest
0 komentarzy
Inline Feedbacks
View all comments