Microsoft redder TikTok-brukere etter å ha rapportert sårbarhet som fører til "ett-klikks kontokapring"

Mens verden er opptatt med å nyte mani over TikTok-appen, vet brukere av den velkjente videodelingsplattformen ikke at de nesten ble ofre for en sårbarhet som kunne ha latt dårlige skuespillere bryte kontoene deres for måneder siden. Heldigvis ble det forhindret før det ble lagt merke til av dårlige skuespillere etterpå Microsoft rapporterte det til TikTok, som umiddelbart løste det.

Microsoft oppdaget sikkerhetsproblemet merket "CVE-2022-28799" og rapporterte det til TikTok i februar i fjor gjennom Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR). I følge teknologigiganten hadde problemet en høy alvorlighetsgrad med en score på 8.3.

Selv om det ikke ble funnet bevis for at CVE-2022-28799 ble utnyttet i naturen, satte sårbarheten milliarder av TikTok-brukerkontoer i fare. Konkret dreide problemet seg om Android-brukere av appen, som har ulike varianter med kombinerte installasjoner på over 1.5 milliarder nedlastinger i Google Play Store. Hvis det var vellykket, kunne det ha tillatt dårlige skuespillere å gå inn på forskjellige kontoer, legge ut videoer og se private, lese brukerens meldinger, hente kontodata og til og med endre innstillingene.

Angrepet kan starte når en bruker klikker på en "spesielt utformet ondsinnet lenke." Ifølge Microsoft ble det mulig da det ble oppdaget at CVE-2022-28799 tillot omgåelse av TikTok-appens dyplinkverifisering. "Angripere kan tvinge appen til å laste inn en vilkårlig URL til appens WebView, slik at URL-en deretter får tilgang til WebViews vedlagte JavaScript-broer og gi funksjonalitet til angripere," forklarte Microsoft 365 Defender Research Team i sin blogginnlegg.

Med dette oppfordret Microsoft brukere til å forhindre lignende scenarier ved å følge noen sikkerhetsretningslinjer, som å ignorere lenker fra uklarerte kilder, regelmessig oppdatere enheter og apper, unngå appinstallasjoner fra uklarerte kilder og rapportering. I tillegg berømmet selskapet den raske handlingen utført av TikTok, samtidig som de understreket viktigheten av samarbeid.

"Denne saken viser hvordan evnen til å koordinere forskning og deling av trusselinformasjon via ekspertsamarbeid på tvers av bransje er nødvendig for å effektivt redusere problemer," sa Microsoft. «Ettersom trusler på tvers av plattformer fortsetter å vokse i antall og sofistikert, er sårbarhetsavsløringer, koordinert respons og andre former for deling av trusselintelligens nødvendig for å sikre brukernes dataopplevelse, uavhengig av plattformen eller enheten som brukes. Vi vil fortsette å jobbe med det større sikkerhetsmiljøet for å dele forskning og etterretning om trusler i arbeidet med å bygge bedre beskyttelse for alle."

Til tross for dette er problemer forårsaket av sårbarheter ikke de eneste sikkerhetsproblemene som TikTok-brukere står overfor. ByteDance og TikTok har sitt rykte blir stilt spørsmål ved av mange på grunn av rapporter om å bli brukt av den kinesiske regjeringen til sine egne agendaer. Bortsett fra en rapporterer og sa at TikTok-ansatte gjentatte ganger fikk tilgang til amerikanske brukerdata fra Kina, dukket det opp en ny bekymring etter at det ble funnet at noen LinkedIn-profiler til TikTok-arbeidere viser at de samtidig jobber for kinesiske statsmedier.