Microsoft räddar TikTok-användare efter att ha rapporterat sårbarhet som leder till "kapning med ett klick"

Medan världen är upptagen med att njuta av vurm över TikTok-appen, har användare av den välkända videodelningsplattformen ingen aning om att de nästan blev offer för en sårbarhet som kunde ha låtit dåliga skådespelare göra intrång i deras konton för månader sedan. Tack och lov förhindrades det innan det uppmärksammades av dåliga skådespelare efteråt Microsoft rapporterade det till TikTok, som omedelbart löste det.

Microsoft upptäckte sårbarheten märkt "CVE-2022-28799" och rapporterade den till TikTok i februari förra året genom sin Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR). Enligt teknikjätten hade problemet en hög allvarlighetsgrad med en poäng på 8.3.

Även om inga bevis hittades för att CVE-2022-28799 utnyttjades i naturen, satte sårbarheten miljarder TikTok-användarkonton i fara. Specifikt handlade problemet om Android-användare av appen, som har olika varianter med kombinerade installationer på över 1.5 miljarder nedladdningar på Google Play Store. Om det lyckades kunde det ha tillåtit dåliga skådespelare att komma in på olika konton, lägga upp videor och se privata, läsa användarens meddelanden, hämta kontodata och till och med ändra inställningarna.

Attacken kan starta när en användare klickar på en "speciellt skapad skadlig länk." Enligt Microsoft blev det möjligt när det upptäcktes att CVE-2022-28799 tillät förbikoppling av TikTok-appens djuplänksverifiering. "Angripare kan tvinga appen att ladda en godtycklig URL till appens WebView, vilket gör att URL:en sedan kan komma åt WebViews bifogade JavaScript-bryggor och ge funktionalitet till angripare", förklarade Microsoft 365 Defender Research Team i sin blogginlägg.

Med detta uppmuntrade Microsoft användare att förhindra liknande scenarier genom att följa vissa säkerhetsriktlinjer, som att ignorera länkar från opålitliga källor, regelbundet uppdatera enheter och appar, undvika appinstallationer från opålitliga källor och rapportera. Dessutom berömde företaget den snabba åtgärden som utfördes av TikTok samtidigt som de underströk vikten av samarbete.

"Det här fallet visar hur förmågan att samordna forskning och delning av hotintelligens via expertsamarbete mellan branscherna är nödvändigt för att effektivt mildra problem," sa Microsoft. "Eftersom hot över plattformar fortsätter att växa i antal och sofistikerade, behövs avslöjande av sårbarhet, samordnade svar och andra former av hotintelligensdelning för att hjälpa till att säkra användarnas datorupplevelse, oavsett vilken plattform eller enhet som används. Vi kommer att fortsätta att arbeta med den större säkerhetsgemenskapen för att dela forskning och intelligens om hot i ansträngningen att bygga bättre skydd för alla.”

Trots detta är problem orsakade av sårbarheter inte de enda säkerhetsproblem som TikTok-användare möter. ByteDance och TikTok har sitt rykte ifrågasatt av många på grund av rapporter om att de används av den kinesiska regeringen för sina egna agendor. Bortsett från a rapport och sade att TikTok-anställda upprepade gånger fick tillgång till amerikanska användardata från Kina, en ny oro uppstod efter att det upptäcktes att vissa LinkedIn-profiler för TikTok-arbetare visa att de samtidigt arbetar för kinesiska statliga medier.