Η Microsoft σώζει χρήστες του TikTok μετά την αναφορά ευπάθειας που οδηγεί σε "πειρατεία λογαριασμού με ένα κλικ"

Ενώ ο κόσμος είναι απασχολημένος με την τρέλα με την εφαρμογή TikTok, οι χρήστες της διάσημης πλατφόρμας κοινής χρήσης βίντεο δεν γνωρίζουν ότι σχεδόν έπεσαν θύματα μιας ευπάθειας που θα μπορούσε να αφήσει κακούς ηθοποιούς να παραβιάσουν τους λογαριασμούς τους πριν από μήνες. Ευτυχώς, αποτράπηκε πριν γίνει αντιληπτός από κακούς ηθοποιούς μετά Microsoft το ανέφερε στο TikTok, το οποίο το έλυσε αμέσως.

Η Microsoft εντόπισε το θέμα ευπάθειας με την ένδειξη «CVE-2022-28799» και το ανέφερε στο TikTok τον περασμένο Φεβρουάριο μέσω της Συντονισμένης Αποκάλυψης Ευπάθειας (CVD) μέσω της Έρευνας ευπάθειας ασφαλείας της Microsoft (MSVR). Σύμφωνα με τον τεχνολογικό γίγαντα, το ζήτημα είχε υψηλή σοβαρότητα με βαθμολογία 8.3.

Αν και δεν βρέθηκαν στοιχεία που να αποδεικνύουν ότι το CVE-2022-28799 εκμεταλλεύτηκε στη φύση, η ευπάθεια έθεσε σε κίνδυνο δισεκατομμύρια λογαριασμούς χρηστών TikTok. Συγκεκριμένα, το πρόβλημα αφορούσε χρήστες Android της εφαρμογής, η οποία έχει διαφορετικές παραλλαγές με συνδυασμένες εγκαταστάσεις πάνω από 1.5 δισεκατομμύριο λήψεις στο Google Play Store. Εάν ήταν επιτυχής, θα μπορούσε να είχε επιτρέψει σε κακούς ηθοποιούς να εισέλθουν σε διαφορετικούς λογαριασμούς, να δημοσιεύσουν βίντεο και να προβάλουν ιδιωτικούς, να διαβάσουν τα μηνύματα του χρήστη, να ανακτήσουν δεδομένα λογαριασμού και ακόμη και να τροποποιήσουν τις ρυθμίσεις.

Η επίθεση μπορεί να ξεκινήσει όταν ένας χρήστης κάνει κλικ σε έναν "ειδικά κατασκευασμένο κακόβουλο σύνδεσμο". Σύμφωνα με τη Microsoft, κατέστη δυνατό όταν ανακαλύφθηκε ότι το CVE-2022-28799 επέτρεψε την παράκαμψη της επαλήθευσης συνδέσμων σε βάθος της εφαρμογής TikTok. «Οι εισβολείς θα μπορούσαν να αναγκάσουν την εφαρμογή να φορτώσει μια αυθαίρετη διεύθυνση URL στο WebView της εφαρμογής, επιτρέποντας στη διεύθυνση URL να αποκτήσει πρόσβαση στις συνδεδεμένες γέφυρες JavaScript του WebView και να παραχωρήσει λειτουργικότητα σε εισβολείς», εξήγησε η ερευνητική ομάδα του Microsoft 365 Defender. ανάρτηση.

Με αυτό, η Microsoft ενθάρρυνε τους χρήστες να αποτρέψουν παρόμοια σενάρια τηρώντας ορισμένες οδηγίες ασφαλείας, όπως η παράβλεψη συνδέσμων από μη αξιόπιστες πηγές, η τακτική ενημέρωση συσκευών και εφαρμογών, η αποφυγή εγκαταστάσεων εφαρμογών από μη αξιόπιστες πηγές και η αναφορά. Επιπλέον, η εταιρεία επαίνεσε τη γρήγορη δράση που εκτέλεσε η TikTok ενώ υπογράμμισε τη σημασία της συνεργασίας.

«Αυτή η περίπτωση δείχνει πώς είναι απαραίτητη η ικανότητα συντονισμού της έρευνας και της ανταλλαγής πληροφοριών απειλών μέσω συνεργασίας εμπειρογνωμόνων, δικλαδική, για τον αποτελεσματικό μετριασμό των προβλημάτων», δήλωσε η Microsoft. «Καθώς οι απειλές σε όλες τις πλατφόρμες συνεχίζουν να αυξάνονται σε αριθμούς και πολυπλοκότητα, απαιτούνται αποκαλύψεις ευπάθειας, συντονισμένη απόκριση και άλλες μορφές κοινής χρήσης νοημοσύνης απειλών για να διασφαλιστεί η υπολογιστική εμπειρία των χρηστών, ανεξάρτητα από την πλατφόρμα ή τη συσκευή που χρησιμοποιείται. Θα συνεχίσουμε να εργαζόμαστε με την ευρύτερη κοινότητα ασφαλείας για να ανταλλάξουμε έρευνα και πληροφορίες σχετικά με τις απειλές στην προσπάθεια δημιουργίας καλύτερης προστασίας για όλους».

Παρόλα αυτά, τα προβλήματα που προκαλούνται από τρωτά σημεία δεν είναι τα μόνα ζητήματα ασφαλείας που αντιμετωπίζουν οι χρήστες του TikTok. Οι ByteDance και TikTok αμφισβητούν τη φήμη τους από πολλούς λόγω των αναφορών ότι χρησιμοποιούνται από την κινεζική κυβέρνηση για τις δικές της ατζέντες. Εκτός από το α αναφέρουν λέγοντας ότι οι υπάλληλοι του TikTok είχαν επανειλημμένα πρόσβαση στα δεδομένα χρηστών των ΗΠΑ από την Κίνα, μια νέα ανησυχία προέκυψε αφού διαπιστώθηκε ότι ορισμένα Προφίλ LinkedIn εργαζομένων στο TikTok δείχνουν ότι εργάζονται ταυτόχρονα για τα κινεζικά κρατικά μέσα ενημέρωσης.