Microsoft redder TikTok-brugere efter at have rapporteret sårbarhed, der fører til "et-klik-kontokapring"

Mens verden har travlt med at nyde dillen over TikTok-appen, er brugere af den velkendte videodelingsplatform uvidende om, at de næsten blev ofre for en sårbarhed, der kunne have ladet dårlige skuespillere bryde deres konti for måneder siden. Heldigvis blev det forhindret, før det blev bemærket af dårlige skuespillere bagefter microsoft rapporterede det til TikTok, som straks løste det.

Microsoft opdagede sårbarheden mærket "CVE-2022-28799" og rapporterede den til TikTok i februar sidste år gennem sin Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR). Ifølge teknologigiganten havde problemet en høj alvorlighedsstatus med en score på 8.3.

Selvom der ikke blev fundet beviser for, at CVE-2022-28799 blev udnyttet i naturen, satte sårbarheden milliarder af TikTok-brugerkonti i fare. Konkret drejede problemet sig om Android-brugere af appen, som har forskellige varianter med kombinerede installationer på over 1.5 milliarder downloads i Google Play Butik. Hvis det lykkedes, kunne det have givet dårlige skuespillere mulighed for at indtaste forskellige konti, poste videoer og se private, læse brugerens beskeder, hente kontodata og endda ændre indstillingerne.

Angrebet kan starte, når en bruger klikker på et "specielt udformet ondsindet link." Ifølge Microsoft blev det muligt, da det blev opdaget, at CVE-2022-28799 tillod omgåelse af TikTok-appens deeplink-bekræftelse. "Angribere kunne tvinge appen til at indlæse en vilkårlig URL til appens WebView, så URL'en derefter kan få adgang til WebViews vedhæftede JavaScript-broer og give funktionalitet til angribere," forklarede Microsoft 365 Defender Research Team i sin blogindlæg.

Med dette opfordrede Microsoft brugere til at forhindre lignende scenarier ved at overholde nogle sikkerhedsretningslinjer, såsom at ignorere links fra ikke-pålidelige kilder, regelmæssig opdatering af enheder og apps, undgå app-installationer fra upålidelige kilder og rapportering. Derudover roste virksomheden den hurtige handling udført af TikTok, mens de understregede vigtigheden af ​​samarbejde.

"Denne sag viser, hvordan evnen til at koordinere forskning og deling af trusselsintelligens via ekspertsamarbejde på tværs af brancher er nødvendig for effektivt at afbøde problemer," sagde Microsoft. "Efterhånden som trusler på tværs af platforme fortsætter med at vokse i antal og sofistikerede, er afsløringer af sårbarheder, koordineret respons og andre former for trusselsintelligens deling nødvendige for at hjælpe med at sikre brugernes computeroplevelse, uanset hvilken platform eller enhed der bruges. Vi vil fortsætte med at arbejde med det større sikkerhedssamfund for at dele forskning og efterretninger om trusler i bestræbelserne på at skabe bedre beskyttelse for alle."

På trods af dette er problemer forårsaget af sårbarheder ikke de eneste sikkerhedsproblemer, som TikTok-brugere står over for. ByteDance og TikTok har deres omdømme stillet spørgsmålstegn ved af mange på grund af rapporter om at blive brugt af den kinesiske regering til sine egne dagsordener. Bortset fra en indberette sagde, at TikTok-medarbejdere gentagne gange fik adgang til de amerikanske brugerdata fra Kina, opstod en ny bekymring, efter at det blev konstateret, at nogle LinkedIn-profiler af TikTok-arbejdere vise, at de samtidig arbejder for de kinesiske statsmedier.