O vulnerabilitate din aplicația TikTok pentru Android ar fi putut permite atacatorilor să preia orice cont care a făcut clic pe un link rău intenționat, putând afecta sute de milioane de utilizatori ai platformei.
Detaliile despre exploatarea cu un singur clic au fost dezvăluite astăzi într-o postare pe blog de la cercetătorii echipei Microsoft 365 Defender Research. Vulnerabilitatea a fost dezvăluită lui TikTok de Microsoft și de atunci a fost corectată.
Bug-ul și atacul rezultat, etichetat ca „vulnerabilitate de mare severitate”, ar fi putut fi folosite pentru a deturna contul oricărui utilizator TikTok pe Android fără știrea acestuia, odată ce aceștia au făcut clic pe un link special creat. După ce se făcea clic pe link, atacatorul avea acces la toate funcțiile principale ale contului, inclusiv capacitatea de a încărca și posta videoclipuri, de a trimite mesaje altor utilizatori și de a vizualiza videoclipuri private stocate în cont.
Impactul potențial a fost uriaș, deoarece a afectat toate variantele globale ale aplicației Android TikTok, care are un total de peste 1,5 miliarde de descărcări pe Google Play Store. Cu toate acestea, nu există dovezi că a fost exploatat la scară. Cercetătorii implicați în descoperire și dezvăluire au lăudat TikTok pentru un răspuns rapid.
„Le-am oferit informații despre vulnerabilitate și am colaborat pentru a ajuta la remedierea acestei probleme”, a declarat pentru NewIT Tanmay Ganacharya, director partener pentru cercetare de securitate la Microsoft Defender pentru Endpoint. „TikTok a răspuns rapid și lăudăm rezoluția eficientă și profesională din partea echipei de securitate.”
Potrivit detaliilor publicate în postarea de pe blog, vulnerabilitatea a afectat funcționalitatea deep link a aplicației Android. Această gestionare a legăturilor profunde îi spune sistemului de operare să permită anumitor aplicații să proceseze linkuri într-un mod specific, cum ar fi deschiderea aplicației Twitter pentru a urmări un utilizator după ce face clic pe un buton HTML „Urmărește acest cont” încorporat într-o pagină web.
Această gestionare a legăturilor include și un proces de verificare care ar trebui să limiteze acțiunile efectuate atunci când o aplicație încarcă o anumită legătură. Dar cercetătorii au găsit o modalitate de a ocoli acest proces de verificare și de a executa o serie de funcții potențial armabile în cadrul aplicației.
Una dintre aceste funcții le permite să recupereze un token de autentificare legat de un anumit cont de utilizator, acordând efectiv acces la cont fără a fi nevoie să introducă o parolă. Într-un atac de dovadă a conceptului, cercetătorii au creat un link rău intenționat care, când a fost dat clic, a schimbat biografia unui cont TikTok pentru a citi „ÎNCĂLCAREA SECURITATII”.
