Microsoft finder TikTok Android “sikkerhedshul” der lader ondsindede overtage konti med et klik
Microsoft fandt og rapporterede en fejl med høj sværhedsgrad i TikTok Android-appen i februar, der gjorde det muligt for angribere “hurtigt og stille” at overtage konti med et enkelt klik ved at narre mål til at klikke på et specielt udformet ondsindet link.
“Angribere kunne have udnyttet sårbarheden til at kapre en konto uden brugernes bevidsthed, hvis en målrettet bruger blot klikkede på et specielt udformet link,”
“Angribere kunne derefter have fået adgang til og ændret brugernes TikTok-profiler og følsomme oplysninger, såsom ved at offentliggøre private videoer, sende beskeder og uploade videoer på vegne af brugerne.”
sagde Microsoft 365 Defender Research Teams Dimitrios Valsamaras.
Ved at klikke på linket blev der vist mere end 70 JavaScript-metoder, der kunne misbruges af en hacker ved hjælp af en udnyttelse designet til at kapre TikTok-appens WebView (en Android-systemkomponent, der bruges af den sårbare app til at vise webindhold).
Ved hjælp af de eksponerede metoder kunne trusselsaktører få adgang til eller ændre TikTok-brugeres private oplysninger eller udføre godkendte HTTP-anmodninger.
Kort sagt, angribere, der ville have formået at udnytte denne sårbarhed med succes, kunne let have:
- hentede brugernes godkendelsestokens (ved at udløse en anmodning til en server under deres kontrol og logge cookien og anmodningsoverskrifterne)
- hentet eller ændret brugernes TikTok-kontodata, herunder private videoer og profilindstillinger (ved at udløse en anmodning til et TikTok-slutpunkt og hente svaret via JavaScript-tilbagekaldet)
“En WebView Hijacking-sårbarhed blev fundet på TikTok Android-applikationen via et ikke-valideret deeplink på en ikke-desinficeret parameter. Dette kunne have resulteret i kontokapring gennem en JavaScript-grænseflade,” hackerOne-rapporten forklarer yderligere.
Nu lappet, ikke udnyttet i angreb
Sikkerhedssårbarheden, sporet som CVE-2022-28799, er nu lappet siden udgivelsen af TikTok version 23.7.3, offentliggjort mindre end en måned efter Microsofts første afsløring.
Microsoft siger, at det endnu ikke har fundet bevis for, at CVE-2022-28799 er blevet udnyttet.
TikTok-brugere kan forsvare sig mod lignende problemer ved ikke at klikke på links fra upålidelige kilder, holde deres apps opdaterede, kun installere apps fra officielle kilder og rapportere enhver mærkelig appadfærd så hurtigt som muligt.
Yderligere oplysninger om, hvordan denne sårbarhed kunne have været brugt i angreb til kontoovertagelse, kan findes i Microsofts rapport.
I november 2020 rettede TikTok sårbarheder, der gjorde det muligt for trusselsaktører hurtigt at kapre kontiene for brugere, der tilmeldte sig via tredjepartsapps.
Virksomheden har også adresseret andre sikkerhedsfejl, der kunne have gjort det muligt for angribere at stjæle brugernes personlige oplysninger eller kapre deres konti for at manipulere videoer.
Ifølge sin Google Play Butik-post har TikToks Android-app over 1 milliard installationer. Baseret på Sensor Tower Store Intelligence estimater har mobilappen allerede krydset 2 milliarder installationer på alle platforme siden april 2020.
Kilde: Microsoft
Fotokredit: Tiktok