Microsoft reši uporabnike TikTok po prijavi ranljivosti, ki vodi do "ugrabitve računa z enim klikom"

Medtem ko je svet zaposlen z uživanjem v noriji nad aplikacijo TikTok, uporabniki dobro znane platforme za izmenjavo videoposnetkov ne vedo, da so skoraj postali žrtev ranljivosti, ki bi lahko zlobnim akterjem pred meseci omogočila vdor v njihove račune. Na srečo so ga preprečili, preden so ga opazili slabi igralci Microsoft prijavil TikToku, ki je zadevo takoj rešil.

Microsoft je opazil ranljivost z oznako »CVE-2022-28799« in jo lani februarja prijavil TikToku prek svojega usklajenega razkritja ranljivosti (CVD) prek Microsoftove varnostne raziskave ranljivosti (MSVR). Po navedbah tehnološkega velikana je imela težava status visoke resnosti z oceno 8.3.

Čeprav ni bilo najdenih dokazov, da je bil CVE-2022-28799 izkoriščan v divjini, je ranljivost ogrozila milijarde uporabniških računov TikTok. Natančneje, težava je vključevala uporabnike aplikacije Android, ki ima različne različice s kombiniranimi namestitvami za več kot 1.5 milijarde prenosov v trgovini Google Play. Če bi bil uspešen, bi lahko zlobnim akterjem omogočil vstop v različne račune, objavo videoposnetkov in ogled zasebnih, branje uporabnikovih sporočil, pridobivanje podatkov o računu in celo spreminjanje nastavitev.

Napad se lahko začne, ko uporabnik klikne »posebej izdelano zlonamerno povezavo«. Po navedbah Microsofta je to postalo mogoče, ko je bilo ugotovljeno, da CVE-2022-28799 dovoljuje obvod preverjanja globoke povezave aplikacije TikTok. »Napadalci bi lahko prisilili aplikacijo, da naloži poljuben URL v spletni pogled aplikacije, kar bi URL-ju omogočilo, da nato dostopa do priloženih mostov JavaScript WebView in dodeli funkcionalnost napadalcem,« je pojasnila raziskovalna skupina Microsoft 365 Defender v svojem blog post.

S tem je Microsoft spodbudil uporabnike, da preprečijo podobne scenarije z upoštevanjem nekaterih varnostnih smernic, kot je ignoriranje povezav iz nezaupljivih virov, redno posodabljanje naprav in aplikacij, izogibanje nameščanju aplikacij iz nezaupljivih virov in poročanje. Poleg tega je podjetje pohvalilo hitro ukrepanje TikToka, hkrati pa poudarilo pomen sodelovanja.

"Ta primer prikazuje, kako je zmožnost usklajevanja raziskav in izmenjave podatkov o grožnjah prek strokovnega medpanožnega sodelovanja potrebna za učinkovito ublažitev težav," je dejal Microsoft. »Ker grožnje na različnih platformah še naprej naraščajo v številu in sofisticiranosti, so potrebna razkritja ranljivosti, usklajen odziv in druge oblike izmenjave podatkov o grožnjah, ki pomagajo zaščititi računalniško izkušnjo uporabnikov, ne glede na platformo ali napravo, ki jo uporabljajo. Še naprej bomo sodelovali s širšo varnostno skupnostjo pri izmenjavi raziskav in obveščevalnih podatkov o grožnjah v prizadevanju za boljšo zaščito za vse.«

Kljub temu težave, ki jih povzročajo ranljivosti, niso edine varnostne težave, s katerimi se srečujejo uporabniki TikTok. Mnogi postavljajo pod vprašaj njun ugled ByteDance in TikTok zaradi poročil, da ju kitajska vlada uporablja za svoje namene. Poleg a poročilo ker so zaposleni v TikToku večkrat dostopali do ameriških uporabniških podatkov s Kitajske, se je pojavila nova skrb, potem ko je bilo ugotovljeno, da nekateri LinkedIn profili delavcev TikTok kažejo, da hkrati delata za kitajske državne medije.