Kun maailma nauttii TikTok-sovelluksen villistuksesta, tunnetun videonjakoalustan käyttäjät eivät tiedä, että he melkein joutuivat uhriksi. haavoittuvuuteen, joka olisi voinut antaa huonojen toimijoiden murtautua tilinsä kuukausia sitten. Onneksi se estettiin ennen kuin huonot toimijat huomasivat sen sen jälkeen, kun Microsoft ilmoitti siitä TikTokille, joka ratkaisi sen välittömästi.
Microsoft havaitsi haavoittuvuuden nimeltä”CVE-2022-28799″ja ilmoitti siitä TikTokille viime helmikuussa sen koordinoitu haavoittuvuusilmoitus (CVD) Microsoft Security Vulnerability Researchin (MSVR) kautta. Teknologian jättiläisen mukaan ongelman vakavuusaste oli 8,3.
Vaikka todisteita CVE-2022-28799:n hyödyntämisestä luonnossa ei löytynyt, haavoittuvuus aiheutti miljardeja TikTokin käyttäjiä. tilit vaarassa. Tarkemmin sanottuna ongelma koski sovelluksen Android-käyttäjiä, sillä sovelluksella on erilaisia versioita ja yhdistettyjä asennuksia yli 1,5 miljardia latausta Google Play Kaupassa. Jos se olisi onnistunut, huonot toimijat olisivat voineet päästä eri tileille, julkaista videoita ja katsella yksityisiä, lukea käyttäjän viestejä, hakea tilitietoja ja jopa muokata asetuksia.
Esimerkki vaarantuneesta TikTok-tilistä, jonka jakaa Microsoft.
Hyökkäys voi alkaa, kun käyttäjä napsauttaa”erityisesti muotoiltua haitallista linkkiä”. Microsoftin mukaan se tuli mahdolliseksi, kun havaittiin, että CVE-2022-28799 salli TikTok-sovelluksen syvälinkkivahvistuksen ohituksen.”Hyökkääjät voivat pakottaa sovelluksen lataamaan mielivaltaisen URL-osoitteen sovelluksen WebView’hun, jolloin URL-osoite voi käyttää WebView’n liitettyjä JavaScript-siltoja ja antaa toimintoja hyökkääjille”, Microsoft 365 Defender Research Team selitti blogiviesti.
Tällä Microsoft rohkaisi käyttäjiä estämään samanlaiset skenaariot noudattamalla tiettyjä suojausohjeita, kuten jättämällä huomioimatta linkit epäluotettavista lähteistä, päivittämällä laitteita ja sovelluksia säännöllisesti, välttämällä sovellusten asentamista epäluotettavista lähteistä ja raportoimalla. Lisäksi yhtiö kehui TikTokin nopeaa toimintaa ja korosti yhteistyön tärkeyttä.
“Tämä tapaus osoittaa, kuinka kyky koordinoida tutkimusta ja uhkatiedon jakamista asiantuntevan, toimialojen välisen yhteistyön avulla on välttämätöntä tehokkaan lieventää ongelmia”, Microsoft sanoi.”Kun uhkien määrä ja kehittyneisyys kasvavat edelleen eri alustoilla, haavoittuvuuksien paljastamista, koordinoitua reagointia ja muita uhkien tietojen jakamisen muotoja tarvitaan käyttäjien tietojenkäsittelykokemuksen turvaamiseksi käytetystä alustasta tai laitteesta riippumatta. Jatkamme työskentelyä laajemman tietoturvayhteisön kanssa jakaaksemme uhkia koskevaa tutkimusta ja tiedustelutietoa pyrkiessämme rakentamaan parempaa suojaa kaikille.”
Tästä huolimatta haavoittuvuuksien aiheuttamat ongelmat eivät ole ainoita turvallisuuskysymyksiä. kohtaavat TikTokin käyttäjät. Monet ovat kyseenalaistaneet ByteDancen ja TikTokin maineensa, koska Kiinan hallitus on käyttänyt niitä omiin asialistoihinsa. Lukuun ottamatta raporttia, jossa sanottiin, että TikTokin työntekijät ovat toistuvasti käyttäneet USA:n käyttäjätiedot Kiinasta, nousi esiin uusi huolenaihe sen jälkeen, kun havaittiin, että jotkin TikTok-työntekijöiden LinkedIn-profiilit osoittavat työskentelevänsä samanaikaisesti Kiinan valtionmedian palveluksessa.