Microsoft ratuje użytkowników TikTok po zgłoszeniu luki prowadzącej do „przejęcia konta jednym kliknięciem”

Podczas gdy świat jest zajęty szaleństwem na punkcie aplikacji TikTok, użytkownicy słynnej platformy do udostępniania wideo nie mają pojęcia, że ​​prawie padli ofiarą luki w zabezpieczeniach, która mogła pozwolić złym aktorom włamać się na ich konta kilka miesięcy temu. Na szczęście udało się temu zapobiec, zanim źli aktorzy zauważyli go później Microsoft zgłosił to TikTok, który natychmiast go rozwiązał.

Microsoft wykrył lukę oznaczoną jako „CVE-2022-28799” i zgłosił ją TikTok w lutym zeszłego roku poprzez skoordynowane ujawnianie luk w zabezpieczeniach (CVD) za pośrednictwem Microsoft Security Vulnerability Research (MSVR). Według giganta technologicznego problem miał wysoki poziom ważności z wynikiem 8.3.

Chociaż nie znaleziono dowodów na to, że CVE-2022-28799 został wykorzystany na wolności, luka ta naraziła na niebezpieczeństwo miliardy kont użytkowników TikTok. W szczególności problem dotyczył użytkowników aplikacji na Androida, która ma różne warianty z połączonymi instalacjami ponad 1.5 miliarda pobrań w sklepie Google Play. Jeśli się powiedzie, może pozwolić złym aktorom na wchodzenie na różne konta, publikowanie filmów i oglądanie prywatnych, czytanie wiadomości użytkownika, pobieranie danych konta, a nawet modyfikowanie ustawień.

Atak może rozpocząć się, gdy użytkownik kliknie „specjalnie spreparowany złośliwy link”. Według Microsoftu stało się to możliwe, gdy odkryto, że CVE-2022-28799 pozwala na ominięcie weryfikacji deeplink aplikacji TikTok. „Atakujący mogą zmusić aplikację do załadowania dowolnego adresu URL do WebView aplikacji, umożliwiając adresowi URL dostęp do dołączonych mostków JavaScript WebView i udzielanie funkcji atakującym” – wyjaśnił zespół badawczy Microsoft 365 Defender w swoim blogu.

W ten sposób firma Microsoft zachęcała użytkowników do zapobiegania podobnym scenariuszom, przestrzegając niektórych wytycznych dotyczących bezpieczeństwa, takich jak ignorowanie linków z niezaufanych źródeł, regularne aktualizowanie urządzeń i aplikacji, unikanie instalacji aplikacji z niezaufanych źródeł oraz raportowanie. Dodatkowo firma chwaliła szybkie działanie wykonywane przez TikTok, podkreślając jednocześnie wagę współpracy.

„Ten przypadek pokazuje, w jaki sposób możliwość koordynowania badań i udostępniania informacji o zagrożeniach za pośrednictwem specjalistycznej współpracy międzybranżowej jest niezbędna do skutecznego łagodzenia problemów” — powiedział Microsoft. „Ponieważ liczba i stopień zaawansowania różnych platform wciąż rośnie, ujawnianie luk w zabezpieczeniach, skoordynowane reagowanie i inne formy udostępniania informacji o zagrożeniach są potrzebne, aby pomóc w zabezpieczeniu korzystania z komputera przez użytkowników, niezależnie od używanej platformy lub urządzenia. Będziemy nadal współpracować z większą społecznością zajmującą się bezpieczeństwem, aby dzielić się badaniami i danymi wywiadowczymi na temat zagrożeń w celu stworzenia lepszej ochrony dla wszystkich”.

Mimo to problemy spowodowane przez luki nie są jedynymi problemami bezpieczeństwa, z jakimi borykają się użytkownicy TikTok. ByteDance i TikTok są przez wielu kwestionowane z powodu doniesień o wykorzystywaniu ich przez chiński rząd do własnych celów. Oprócz a raport mówiąc, że pracownicy TikTok wielokrotnie uzyskiwali dostęp do danych użytkowników z USA z Chin, pojawił się nowy problem po tym, jak odkryto, że niektórzy Profile LinkedIn pracowników TikTok pokazują, że pracują jednocześnie dla chińskich mediów państwowych.