Microsoft zachraňuje používateľov TikTok po nahlásení zraniteľnosti vedúcej k „ukradnutiu účtu jedným kliknutím“

Zatiaľ čo svet je zaneprázdnený užívaním si šialenstva okolo aplikácie TikTok, používatelia známej platformy na zdieľanie videí nevedia, že sa takmer stali obeťou zraniteľnosti, ktorá mohla zlým hercom pred mesiacmi dovoliť narušiť ich účty. Našťastie tomu bolo zabránené predtým, ako si to všimli zlí herci Microsoft nahlásil to TikTok, ktorý to okamžite vyriešil.

Spoločnosť Microsoft si všimla zraniteľnosť označenú ako „CVE-2022-28799“ a oznámila ju spoločnosti TikTok minulý rok vo februári prostredníctvom svojho Coordinated Vulnerability Disclosure (CVD) prostredníctvom Microsoft Security Vulnerability Research (MSVR). Podľa technologického giganta mal problém vysoký stupeň závažnosti so skóre 8.3.

Hoci sa nenašli žiadne dôkazy o tom, že by CVE-2022-28799 bol využívaný vo voľnej prírode, táto zraniteľnosť ohrozila miliardy používateľských účtov TikTok. Konkrétne sa problém týkal používateľov aplikácie Android, ktorá má rôzne varianty s kombinovanými inštaláciami viac ako 1.5 miliardy stiahnutí v obchode Google Play. Ak by to bolo úspešné, mohlo to umožniť zlým hercom vstupovať do rôznych účtov, uverejňovať videá a prezerať si súkromné, čítať správy používateľov, získavať údaje o účte a dokonca upravovať nastavenia.

Útok môže začať, keď používateľ klikne na „špeciálne vytvorený škodlivý odkaz“. Podľa spoločnosti Microsoft to bolo možné, keď sa zistilo, že CVE-2022-28799 umožnilo obísť overenie hlbokých odkazov aplikácie TikTok. „Útočníci by mohli prinútiť aplikáciu, aby načítala ľubovoľnú adresu URL do WebView aplikácie, čo by tejto adrese URL umožnilo získať prístup k pripojeným mostom JavaScript WebView a poskytnúť útočníkom funkčnosť,“ vysvetlil výskumný tím Microsoft 365 Defender. blog post.

Spoločnosť Microsoft týmto povzbudila používateľov, aby podobným scenárom zabránili dodržiavaním niektorých bezpečnostných pokynov, ako je ignorovanie odkazov z nedôveryhodných zdrojov, pravidelná aktualizácia zariadení a aplikácií, vyhýbanie sa inštaláciám aplikácií z nedôveryhodných zdrojov a podávanie správ. Okrem toho spoločnosť ocenila rýchlu akciu vykonanú spoločnosťou TikTok a zároveň zdôraznila dôležitosť spolupráce.

„Tento prípad ukazuje, ako je schopnosť koordinovať výskum a zdieľanie informácií o hrozbách prostredníctvom expertnej spolupráce medzi odvetviami nevyhnutná na efektívne zmiernenie problémov,“ povedal Microsoft. „Vzhľadom na to, že počet a sofistikovanosť hrozieb naprieč platformami neustále narastá, je potrebné odhaľovať zraniteľnosť, koordinovanú reakciu a ďalšie formy zdieľania informácií o hrozbách, aby sme pomohli zabezpečiť prácu používateľov s počítačom bez ohľadu na používanú platformu alebo zariadenie. Budeme pokračovať v spolupráci s väčšou bezpečnostnou komunitou na zdieľaní výskumu a spravodajských informácií o hrozbách v snahe vybudovať lepšiu ochranu pre všetkých.“

Napriek tomu problémy spôsobené zraniteľnosťami nie sú jedinými bezpečnostnými problémami, ktorým čelia používatelia TikTok. ByteDance a TikTok mnohí spochybňujú ich povesť kvôli správam o tom, že ich čínska vláda využíva pre svoje vlastné programy. Okrem a správy hovoriac, že ​​zamestnanci TikTok opakovane pristupovali k americkým užívateľským údajom z Číny, nový problém sa objavil po tom, čo sa zistilo, že niektorí LinkedIn profily pracovníkov TikTok ukazujú, že súčasne pracujú pre čínske štátne médiá.