Microsoft는 "원 클릭 계정 하이재킹"으로 이어지는 취약점을 보고한 후 TikTok 사용자를 저장합니다.

전 세계가 TikTok 앱 열풍을 즐기느라 바쁘지만, 유명한 동영상 공유 플랫폼의 사용자는 몇 달 전에 악의적인 사용자가 계정을 도용할 수 있었던 취약점에 거의 희생될 뻔했다는 사실을 모르고 있습니다. 다행스럽게도 나쁜 배우들에게 눈에 띄기 전에 막았다. Microsoft 틱톡에 신고했더니 바로 해결했습니다.

Microsoft는 "CVE-2022-28799"라는 레이블이 붙은 취약점을 발견하고 지난 8.3월 MSVR(Microsoft Security Vulnerability Research)을 통한 CVD(Coordinated Vulnerability Disclosure)를 통해 TikTok에 보고했습니다. 기술 거물에 따르면 이 문제는 XNUMX점으로 높은 심각도 상태였습니다.

CVE-2022-28799가 야생에서 악용되었다는 증거는 발견되지 않았지만 취약점으로 인해 수십억 개의 TikTok 사용자 계정이 위험에 처했습니다. 특히, 이 문제는 Google Play 스토어에서 1.5억 회 이상의 다운로드가 결합된 다양한 변형이 있는 앱의 Android 사용자와 관련되었습니다. 성공하면 악의적인 행위자가 다른 계정에 들어가 비디오를 게시하고 비공개 계정을 보고 사용자의 메시지를 읽고 계정 데이터를 검색하고 설정을 수정할 수도 있습니다.

공격은 사용자가 "특수하게 조작된 악성 링크"를 클릭할 때 시작될 수 있습니다. 마이크로소프트에 따르면 CVE-2022-28799가 틱톡 앱의 딥링크 검증 우회를 허용한 것이 밝혀지면서 가능해졌다. Microsoft 365 Defender Research Team은 "공격자는 앱이 앱의 WebView에 임의의 URL을 로드하도록 강제할 수 있으며 URL이 WebView에 연결된 JavaScript 브리지에 액세스하고 공격자에게 기능을 부여할 수 있습니다."라고 설명했습니다. 블로그 게시물.

이를 통해 Microsoft는 신뢰할 수 없는 출처의 링크 무시, 정기적으로 장치 및 앱 업데이트, 신뢰할 수 없는 출처의 앱 설치 방지, 보고와 같은 몇 가지 보안 지침을 준수하여 유사한 시나리오를 방지할 것을 사용자에게 권장했습니다. 또한 회사는 협업의 중요성을 강조하면서 TikTok의 빠른 조치를 칭찬했습니다.

마이크로소프트는 “이 사례는 문제를 효과적으로 완화하기 위해 산업 전반에 걸친 전문가 협업을 통해 연구 및 위협 인텔리전스 공유를 조정하는 능력이 얼마나 필요한지를 보여준다”고 말했다. “플랫폼 전반의 위협이 계속해서 증가하고 정교해짐에 따라 사용 중인 플랫폼이나 장치에 관계없이 사용자의 컴퓨팅 경험을 보호하기 위해 취약성 공개, 조정된 대응 및 기타 형태의 위협 인텔리전스 공유가 필요합니다. 우리는 모두를 위한 더 나은 보호를 구축하기 위해 더 큰 보안 커뮤니티와 계속 협력하여 위협에 대한 연구 및 인텔리전스를 공유할 것입니다.”

그럼에도 불구하고 TikTok 사용자가 직면하는 보안 문제는 취약점으로 인한 문제만이 아닙니다. ByteDance와 TikTok은 중국 정부가 자체 의제를 위해 사용했다는 보고로 인해 많은 사람들에게 의심을 받고 있습니다. 를 제외하고 신고 TikTok 직원이 중국에서 미국 사용자 데이터에 반복적으로 액세스했다고 밝혔습니다. TikTok 직원의 LinkedIn 프로필 그들이 동시에 중국 국영 언론을 위해 일하고 있음을 보여줍니다.