מיקרוסופט מצילה משתמשי TikTok לאחר דיווח על פגיעות המובילה ל"חטיפת חשבון בלחיצה אחת"

בזמן שהעולם עסוק בלהנות מהטירוף על אפליקציית TikTok, למשתמשים בפלטפורמת שיתוף הווידאו המפורסמת אין מושג שהם כמעט נפלו קורבן לפגיעות שיכולה הייתה לאפשר לשחקנים רעים להפר את החשבונות שלהם לפני חודשים. למרבה המזל, זה נמנע לפני שהבחינו בו על ידי שחקנים גרועים לאחר מכן מיקרוסופט דיווח על כך ל- TikTok, שפתר את זה מיד.

מיקרוסופט זיהתה את הפגיעות שכותרתה "CVE-2022-28799" ודיווחה עליה ל-TikTok בפברואר האחרון באמצעות גילוי הפגיעות המתואם שלה (CVD) באמצעות Microsoft Security Vulnerability Research (MSVR). לטענת ענקית הטכנולוגיה, הנושא היה בסטטוס חומרה גבוה עם ציון של 8.3.

למרות שלא נמצאו ראיות לכך ש-CVE-2022-28799 נוצל בטבע, הפגיעות העמידה מיליארדי חשבונות משתמש של TikTok בסכנה. ספציפית, הבעיה כללה משתמשי אנדרואיד של האפליקציה, שיש לה גרסאות שונות עם התקנות משולבות של למעלה מ-1.5 מיליארד הורדות בחנות Google Play. אם הצליח, זה יכול היה לאפשר לשחקנים גרועים להיכנס לחשבונות שונים, לפרסם סרטונים ולצפות בסרטונים פרטיים, לקרוא את ההודעות של המשתמש, לאחזר נתוני חשבון ואפילו לשנות את ההגדרות.

ההתקפה יכולה להתחיל כאשר משתמש לוחץ על "קישור זדוני בעל מבנה מיוחד". לפי מיקרוסופט, זה התאפשר כאשר התגלה ש-CVE-2022-28799 אפשר לעקוף את אימות הקישור העמוק של אפליקציית TikTok. "התוקפים יכולים לאלץ את האפליקציה לטעון כתובת URL שרירותית ל-WebView של האפליקציה, ולאפשר לכתובת ה-URL לגשת לאחר מכן לגשרי ה-JavaScript המצורפים של ה-WebView ולהעניק פונקציונליות לתוקפים", הסביר צוות המחקר של Microsoft 365 Defender. בלוג.

עם זאת, מיקרוסופט עודדה משתמשים למנוע תרחישים דומים על ידי שמירה על כמה הנחיות אבטחה, כמו התעלמות מקישורים ממקורות לא מהימנים, עדכון קבוע של מכשירים ואפליקציות, הימנעות מהתקנות אפליקציות ממקורות לא מהימנים ודיווח. בנוסף, החברה שיבחה את הפעולה המהירה שביצע TikTok תוך הדגשת חשיבות שיתוף הפעולה.

"המקרה הזה מראה כיצד היכולת לתאם מחקר ושיתוף מודיעין איומים באמצעות שיתוף פעולה בין-תעשייתי של מומחים נחוצה כדי לצמצם בעיות ביעילות", אמרה מיקרוסופט. "ככל שהאיומים בין הפלטפורמות ממשיכים לגדול במספרם ובתחכום, נחוצים גילויי פגיעות, תגובה מתואמת וצורות אחרות של שיתוף מודיעין איומים כדי לעזור לאבטח את חוויית המחשוב של המשתמשים, ללא קשר לפלטפורמה או למכשיר הנמצאים בשימוש. אנו נמשיך לעבוד עם קהילת האבטחה הגדולה כדי לשתף מחקרים ומודיעין על איומים במאמץ לבנות הגנה טובה יותר לכולם".

למרות זאת, בעיות הנגרמות מפגיעות אינן בעיות האבטחה היחידות בהן מתמודדים משתמשי TikTok. ל- ByteDance ו- TikTok המוניטין שלהם מוטל בספק על ידי רבים עקב דיווחים על שימוש בממשלת סין לסדר היום שלה. מלבד א לדווח באומרו שעובדי TikTok ניגשו שוב ושוב לנתוני המשתמשים בארה"ב מסין, חשש חדש התעורר לאחר שנמצא כי חלק פרופילי לינקדאין של עובדי TikTok להראות שהם עובדים במקביל עבור התקשורת הממלכתית הסינית.