مایکروسافت کاربران TikTok را پس از گزارش آسیبپذیری منجر به "ربایش حساب با یک کلیک" نجات میدهد.
3 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
در حالی که جهان مشغول لذت بردن از شوق برنامه TikTok است، کاربران پلتفرم معروف اشتراکگذاری ویدیو نمیدانند که تقریباً قربانی آسیبپذیری شدهاند که میتوانست به بازیگران بد اجازه دهد ماهها پیش به حسابهای آنها نفوذ کنند. خوشبختانه، قبل از اینکه توسط بازیگران بد توجه شود، جلوگیری شد مایکروسافت آن را به TikTok گزارش کرد که بلافاصله آن را حل کرد.
مایکروسافت آسیبپذیری با عنوان «CVE-2022-28799» را شناسایی کرد و آن را در فوریه گذشته از طریق افشای آسیبپذیری هماهنگ (CVD) از طریق تحقیقات آسیبپذیری امنیتی مایکروسافت (MSVR) به TikTok گزارش کرد. به گفته این غول فناوری، این مشکل با امتیاز 8.3 دارای وضعیت شدیدی بود.
اگرچه هیچ مدرکی مبنی بر سوء استفاده از CVE-2022-28799 در طبیعت یافت نشد، این آسیب پذیری میلیاردها حساب کاربری TikTok را در معرض خطر قرار داد. به طور خاص، مشکل مربوط به کاربران اندرویدی این برنامه است که دارای انواع مختلف با نصب ترکیبی بیش از 1.5 میلیارد دانلود در فروشگاه Google Play است. اگر موفقیت آمیز بود، می توانست به بازیگران بد اجازه ورود به حساب های مختلف، پست ویدیو و مشاهده موارد خصوصی، خواندن پیام های کاربر، بازیابی اطلاعات حساب و حتی تغییر تنظیمات را بدهد.
این حمله زمانی شروع می شود که کاربر روی «لینک مخرب ساخته شده ویژه» کلیک کند. به گفته مایکروسافت، زمانی امکان پذیر شد که کشف شد CVE-2022-28799 اجازه دور زدن تأیید پیوند عمیق برنامه TikTok را می دهد. تیم تحقیقاتی Microsoft 365 Defender در خود توضیح داده است: «مهاجمین میتوانند برنامه را مجبور کنند یک URL دلخواه را در WebView برنامه بارگذاری کند، و به URL اجازه میدهد سپس به پلهای جاوا اسکریپت متصل شده WebView دسترسی پیدا کند و عملکردی را به مهاجمان اعطا کند. پست های وبلاگ.
با این کار، مایکروسافت کاربران را تشویق کرد تا با رعایت برخی دستورالعملهای امنیتی از سناریوهای مشابه جلوگیری کنند، مانند نادیده گرفتن پیوندها از منابع نامعتبر، بهروزرسانی منظم دستگاهها و برنامهها، اجتناب از نصب برنامه از منابع نامعتبر و گزارشدهی. علاوه بر این، این شرکت اقدام سریع انجام شده توسط TikTok را تحسین کرد و در عین حال بر اهمیت همکاری تأکید کرد.
مایکروسافت گفت: "این مورد نشان می دهد که چگونه توانایی هماهنگ کردن تحقیقات و به اشتراک گذاری اطلاعات تهدید از طریق همکاری متخصص و بین صنعتی برای کاهش موثر مشکلات ضروری است." از آنجایی که تعداد و پیچیدگیهای تهدیدات در سراسر پلتفرمها همچنان افزایش مییابد، افشای آسیبپذیریها، پاسخ هماهنگ و سایر اشکال اشتراکگذاری اطلاعات تهدید برای کمک به امنیت تجربه محاسباتی کاربران، صرفنظر از پلتفرم یا دستگاه در حال استفاده، مورد نیاز است. ما به همکاری با جامعه امنیتی بزرگتر برای به اشتراک گذاشتن تحقیقات و اطلاعات در مورد تهدیدات در تلاش برای ایجاد حفاظت بهتر برای همه ادامه خواهیم داد."
با وجود این، مشکلات ناشی از آسیبپذیریها تنها مشکلات امنیتی نیست که کاربران TikTok با آن مواجه هستند. ByteDance و TikTok به دلیل گزارش هایی مبنی بر استفاده توسط دولت چین برای برنامه های خود، شهرت آنها توسط بسیاری زیر سوال رفته است. جدا از الف گزارش با بیان اینکه کارمندان TikTok مکرراً به اطلاعات کاربران ایالات متحده از چین دسترسی داشتند، نگرانی جدیدی پس از اینکه مشخص شد برخی پروفایل های لینکدین کارگران TikTok نشان می دهد که آنها به طور همزمان برای رسانه های دولتی چین کار می کنند.