Microsoft salva usuários do TikTok após relatar vulnerabilidade que leva ao "sequestro de conta com um clique"

Enquanto o mundo está ocupado aproveitando a mania do aplicativo TikTok, os usuários da famosa plataforma de compartilhamento de vídeo não sabem que quase foram vítimas de uma vulnerabilidade que poderia ter permitido que maus atores violassem suas contas meses atrás. Felizmente, foi impedido antes de ser notado por maus atores após Microsoft reportou ao TikTok, que resolveu imediatamente.

A Microsoft detectou a vulnerabilidade rotulada “CVE-2022-28799” e a relatou ao TikTok em fevereiro passado por meio de sua divulgação coordenada de vulnerabilidade (CVD) via Microsoft Security Vulnerability Research (MSVR). De acordo com a gigante da tecnologia, o problema teve um status de alta gravidade com uma pontuação de 8.3.

Embora nenhuma evidência tenha sido encontrada de que o CVE-2022-28799 tenha sido explorado em estado selvagem, a vulnerabilidade colocou bilhões de contas de usuários do TikTok em perigo. Especificamente, o problema envolveu usuários do aplicativo Android, que possui diferentes variantes com instalações combinadas de mais de 1.5 bilhão de downloads na Google Play Store. Se for bem-sucedido, poderia ter permitido que atores mal-intencionados entrassem em contas diferentes, postassem vídeos e vissem vídeos privados, lessem as mensagens do usuário, recuperassem dados da conta e até modificassem as configurações.

O ataque pode começar quando um usuário clica em um “link malicioso especialmente criado”. Segundo a Microsoft, tornou-se possível quando foi descoberto que o CVE-2022-28799 permitia o desvio da verificação de link direto do aplicativo TikTok. “Os invasores podem forçar o aplicativo a carregar um URL arbitrário para o WebView do aplicativo, permitindo que o URL acesse as pontes JavaScript anexadas do WebView e conceda funcionalidade aos invasores”, explicou a equipe de pesquisa do Microsoft 365 Defender em seu relatório. no blog.

Com isso, a Microsoft incentivou os usuários a evitar cenários semelhantes observando algumas diretrizes de segurança, como ignorar links de fontes não confiáveis, atualizar dispositivos e aplicativos regularmente, evitar instalações de aplicativos de fontes não confiáveis ​​e relatórios. Além disso, a empresa elogiou a ação rápida realizada pelo TikTok, ao mesmo tempo em que destacou a importância da colaboração.

“Este caso mostra como a capacidade de coordenar pesquisa e compartilhamento de inteligência de ameaças por meio de colaboração especializada e intersetorial é necessária para mitigar problemas de maneira eficaz”, disse a Microsoft. “À medida que as ameaças entre plataformas continuam a crescer em número e sofisticação, divulgações de vulnerabilidades, resposta coordenada e outras formas de compartilhamento de inteligência de ameaças são necessárias para ajudar a proteger a experiência de computação dos usuários, independentemente da plataforma ou dispositivo em uso. Continuaremos a trabalhar com a comunidade de segurança maior para compartilhar pesquisas e informações sobre ameaças no esforço de construir uma melhor proteção para todos.”

Apesar disso, os problemas causados ​​por vulnerabilidades não são os únicos problemas de segurança enfrentados pelos usuários do TikTok. ByteDance e TikTok têm sua reputação sendo questionada por muitos devido a relatos de serem usados ​​pelo governo chinês para suas próprias agendas. Além de um Denunciar dizendo que os funcionários do TikTok acessaram repetidamente os dados de usuários dos EUA da China, uma nova preocupação surgiu depois que se descobriu que alguns Perfis do LinkedIn de funcionários do TikTok mostram que estão trabalhando simultaneamente para a mídia estatal chinesa.