Microsoft zachraňuje uživatele TikTok poté, co nahlásí zranitelnost vedoucí k „ukradení účtu jedním kliknutím“

Zatímco svět je zaneprázdněn tím, že si užívá šílenství kolem aplikace TikTok, uživatelé známé platformy pro sdílení videí netuší, že se málem stali obětí zranitelnosti, která mohla před několika měsíci dovolit špatným hercům narušit jejich účty. Naštěstí tomu bylo zabráněno, než si toho všimli špatní herci poté Microsoft nahlásil to společnosti TikTok, která to okamžitě vyřešila.

Microsoft si všiml zranitelnosti označené „CVE-2022-28799“ a loni v únoru ji oznámil společnosti TikTok prostřednictvím svého Coordinated Vulnerability Disclosure (CVD) prostřednictvím Microsoft Security Vulnerability Research (MSVR). Podle technologického giganta měl problém vysoce závažný stav se skóre 8.3.

Přestože nebyly nalezeny žádné důkazy o tom, že by CVE-2022-28799 byl využíván ve volné přírodě, tato zranitelnost ohrozila miliardy uživatelských účtů TikTok. Konkrétně se problém týkal uživatelů aplikace Android, která má různé varianty s kombinovanými instalacemi přes 1.5 miliardy stažení v Obchodě Google Play. Pokud by to bylo úspěšné, mohlo to umožnit špatným hercům vstupovat do různých účtů, zveřejňovat videa a prohlížet soukromá, číst zprávy uživatele, získávat data účtu a dokonce upravovat nastavení.

Útok může začít, když uživatel klikne na „speciálně vytvořený škodlivý odkaz“. Podle Microsoftu se to stalo možným, když se zjistilo, že CVE-2022-28799 umožnilo obejít ověřování hlubokých odkazů aplikace TikTok. „Útočníci by mohli donutit aplikaci, aby načetla libovolnou adresu URL do WebView aplikace, což by této adrese URL umožnilo přistupovat k připojeným JavaScriptovým mostům WebView a udělit funkci útočníkům,“ vysvětlil výzkumný tým Microsoft 365 Defender Research Team. blogu.

Společnost Microsoft tímto vyzvala uživatele, aby podobným scénářům předcházeli dodržováním některých bezpečnostních pokynů, jako je ignorování odkazů z nedůvěryhodných zdrojů, pravidelná aktualizace zařízení a aplikací, vyhýbání se instalacím aplikací z nedůvěryhodných zdrojů a podávání zpráv. Společnost navíc ocenila rychlou akci provedenou TikTok a zároveň zdůraznila důležitost spolupráce.

„Tento případ ukazuje, jak je k účinnému zmírnění problémů nezbytná schopnost koordinovat výzkum a sdílení informací o hrozbách prostřednictvím expertní spolupráce napříč odvětvími,“ řekl Microsoft. „Vzhledem k tomu, že počet a sofistikovanost hrozeb napříč platformami neustále narůstají, je zapotřebí zveřejňování zranitelnosti, koordinovaná reakce a další formy sdílení informací o hrozbách, které pomohou zajistit uživatelům práci s počítačem bez ohledu na používanou platformu nebo zařízení. Budeme pokračovat ve spolupráci s větší bezpečnostní komunitou na sdílení výzkumu a zpravodajských informací o hrozbách ve snaze vybudovat lepší ochranu pro všechny.“

Navzdory tomu nejsou problémy způsobené zranitelností jedinými bezpečnostními problémy, kterým uživatelé TikTok čelí. ByteDance a TikTok mají jejich pověst zpochybňovány mnoha kvůli zprávám o tom, že je čínská vláda používá pro své vlastní programy. Kromě a zprávy říkající, že zaměstnanci TikTok opakovaně přistupovali k americkým uživatelským datům z Číny, objevila se nová obava poté, co bylo zjištěno, že někteří LinkedIn profily pracovníků TikTok ukazují, že současně pracují pro čínská státní média.