Η Microsoft εντόπισε (και ανέφερε) μια πολύ σοβαρή ευπάθεια στην Android έκδοση του TikTok app τον Φεβρουάριο. Αυτή η ευπάθεια επέτρεπε σε επιτιθέμενους να αναλάβουν τον έλεγχο TikTok λογαριασμών “γρήγορα και αθόρυβα”, κάνοντας τους στόχους να κάνουν κλικ σε έναν ειδικά κατασκευασμένο κακόβουλο σύνδεσμο.
“Οι επιτιθέμενοι θα μπορούσαν να έχουν εκμεταλλευτεί την ευπάθεια για να παραβιάσουν έναν λογαριασμό χωρίς να το γνωρίζουν οι χρήστες, εάν ένας στοχευμένος χρήστης απλώς έκανε κλικ σε έναν ειδικά διαμορφωμένο σύνδεσμο“, δήλωσε ο Δημήτριος Βαλσαμάρας του Microsoft 365 Defender Research Team.
Δείτε επίσης: Ο in-app browser του TikTok παρακολουθεί κάθε σας κίνηση
“Οι εισβολείς θα μπορούσαν στη συνέχεια να έχουν πρόσβαση και να τροποποιήσουν τα προφίλ και τις ευαίσθητες πληροφορίες των χρηστών TikTok, δημοσιοποιώντας ιδιωτικά βίντεο, στέλνοντας μηνύματα και ανεβάζοντας βίντεο για λογαριασμό των χρηστών“.
Κάνοντας κλικ στον σύνδεσμο εμφανίστηκαν περισσότερα από 70 JavaScript methods που θα μπορούσαν να χρησιμοποιηθούν από έναν επιτιθέμενο με τη βοήθεια ενός exploit που έχει σχεδιαστεί για να παραβιάσει το WebView της εφαρμογής TikTok (ένα system component του Android που χρησιμοποιείται από την ευάλωτη εφαρμογή για την εμφάνιση περιεχομένου web).
Χρησιμοποιώντας τα exposed methods, οι επιτιθέμενοι θα μπορούσαν να έχουν πρόσβαση ή να τροποποιούν τις προσωπικές πληροφορίες των χρηστών του TikTok ή να εκτελούν επαληθευμένα HTTP requests.
Εν ολίγοις, με την επιτυχημένη εκμετάλλευση αυτής της ευπάθειας μπορούσε κάποιος να:
- ανακτήσει τα authentication tokens των χρηστών
- ανακτήσει ή τροποποιήσει τα δεδομένα λογαριασμού των χρηστών TikTok, συμπεριλαμβανομένων των ιδιωτικών βίντεο και των ρυθμίσεων προφίλ
“Βρέθηκε μια ευπάθεια στο WebView στην Android εφαρμογή TikTok μέσω ενός μη επικυρωμένου deeplink σε ένα un-sanitized parameter. Αυτό θα μπορούσε να είχε ως αποτέλεσμα την παραβίαση λογαριασμού μέσω JavaScript interface“, εξηγεί περαιτέρω η αναφορά του HackerOne.
Δείτε επίσης: Επεκτάσεις Chrome με 1,4 εκατομμύρια λήψεις κλέβουν δεδομένα περιήγησης
Η ευπάθεια στην Android έκδοση του TikTok apps έχει τώρα διορθωθεί
Η ευπάθεια, η οποία παρακολουθείται ως CVE-2022-28799, έχει πλέον διορθωθεί από την κυκλοφορία της έκδοσης 23.7.3 του TikTok, που δημοσιεύτηκε λιγότερο από ένα μήνα μετά την αρχική αποκάλυψη της Microsoft.
Η Microsoft λέει ότι δεν έχει βρει ακόμη στοιχεία εκμετάλλευσης του CVE-2022-28799.
Οι χρήστες του TikTok μπορούν να προστατευτούν από παρόμοια ζητήματα ασφαλείας αποφεύγοντας το άνοιγμα συνδέσμων που προέρχονται από μη αξιόπιστες πηγές, εφαρμόζοντας άμεσα όλες τις ενημερώσεις που κυκλοφορούν, εγκαθιστώντας εφαρμογές μόνο από επίσημες πηγές και αναφέροντας οποιαδήποτε περίεργη συμπεριφορά εφαρμογής το συντομότερο δυνατό.
Δείτε επίσης: Apple: Διορθώνει zero-day bug που επηρεάζει παλιότερα iPhone
Περισσότερες πληροφορίες σχετικά με την ευπάθεια και τον τρόπο με τον οποίο θα μπορούσε να είχε χρησιμοποιηθεί σε επιθέσεις, μπορείτε να βρείτε στην αναφορά της Microsoft.
Δεν είναι η πρώτη φορά που το TikTok διορθώνει μια ευπάθεια που θα μπορούσε να επιτρέψει την παραβίαση λογαριασμών. Τον Νοέμβριο του 2020, διόρθωσε κάποια τέτοια σφάλματα. Επιπλέον, η εταιρεία έχει αντιμετωπίσει ζητήματα ασφαλείας που επέτρεπαν την κλοπή προσωπικών στοιχείων των χρηστών.
Είναι σημαντικό να διορθώνονται άμεσα οι ευπάθειες που εντοπίζονται σε εφαρμογές όπως το TikTok. Η κινεζική εφαρμογή είναι εξαιρετικά δημοφιλής με πάνω 1 δισεκατομμύριο εγκαταστάσεις σε Android συσκευές. Αυτό σημαίνει ότι ένας τεράστιος αριθμός χρηστών θα μπορούσε να επηρεαστεί από τα ζητήματα ασφαλείας.
Πηγή: www.bleepingcomputer.com
 μια πολύ σοβαρή ευπάθεια στην Android έκδοση του TikTok app τον Φεβρουάριο. Αυτή η ευπάθεια){kind=link}