Mentre il mondo è impegnato a godersi la mania dell’app TikTok, gli utenti della famosa piattaforma di condivisione video non hanno idea di essere quasi rimasti vittime a una vulnerabilità che avrebbe potuto consentire a malintenzionati di violare i loro account mesi fa. Per fortuna, è stato impedito prima di essere notato da malintenzionati dopo che Microsoft lo ha segnalato a TikTok, che l’ha immediatamente risolto.
Microsoft ha individuato la vulnerabilità etichettata”CVE-2022-28799″e l’ha segnalata a TikTok lo scorso febbraio tramite il suo Coordinated Vulnerability Disclosure (CVD) tramite Microsoft Security Vulnerability Research (MSVR). Secondo il gigante della tecnologia, il problema aveva uno stato di gravità elevato con un punteggio di 8,3.
Sebbene non sia stata trovata alcuna prova che CVE-2022-28799 sia stato sfruttato in natura, la vulnerabilità ha messo miliardi di utenti di TikTok conti in pericolo. Nello specifico il problema ha coinvolto gli utenti Android dell’app, che presenta diverse varianti con installazioni combinate di oltre 1,5 miliardi di download sul Google Play Store. In caso di successo, avrebbe potuto consentire ai malintenzionati di accedere a account diversi, pubblicare video e visualizzare quelli privati, leggere i messaggi dell’utente, recuperare i dati dell’account e persino modificare le impostazioni.
Un esempio di account TikTok compromesso condiviso da Microsoft.
L’attacco può iniziare quando un utente fa clic su un”collegamento dannoso appositamente predisposto”. Secondo Microsoft, è diventato possibile quando è stato scoperto che CVE-2022-28799 consentiva il bypass della verifica del deeplink dell’app TikTok.”Gli aggressori potrebbero forzare l’app a caricare un URL arbitrario nella visualizzazione Web dell’app, consentendo all’URL di accedere ai bridge JavaScript allegati di Visualizzazione Web e concedere funzionalità agli aggressori”, ha spiegato il team di ricerca di Microsoft 365 Defender nel suo post del blog.
Con questo, Microsoft ha incoraggiato gli utenti a prevenire scenari simili osservando alcune linee guida di sicurezza, come ignorare i collegamenti da fonti non attendibili, aggiornare regolarmente dispositivi e app, evitare installazioni di app da fonti non attendibili e generare rapporti. Inoltre, l’azienda ha elogiato l’azione rapida eseguita da TikTok, sottolineando l’importanza della collaborazione.
“Questo caso mostra come la capacità di coordinare la ricerca e la condivisione di informazioni sulle minacce tramite una collaborazione di esperti e intersettoriali sia necessaria per mitigare i problemi”, ha affermato Microsoft.”Poiché le minacce su tutte le piattaforme continuano a crescere in numero e in termini di sofisticatezza, sono necessarie divulgazioni di vulnerabilità, risposta coordinata e altre forme di condivisione dell’intelligence sulle minacce per proteggere l’esperienza di elaborazione degli utenti, indipendentemente dalla piattaforma o dal dispositivo in uso. Continueremo a collaborare con la più ampia comunità di sicurezza per condividere ricerche e informazioni sulle minacce nel tentativo di creare una migliore protezione per tutti”.
Nonostante ciò, i problemi causati dalle vulnerabilità non sono gli unici problemi di sicurezza ad essere affrontato dagli utenti di TikTok. ByteDance e TikTok hanno la loro reputazione messa in discussione da molti a causa di segnalazioni di utilizzo da parte del governo cinese per i propri programmi. A parte un rapporto in cui si afferma che i dipendenti di TikTok hanno accesso ripetutamente al Dati degli utenti statunitensi dalla Cina, è emersa una nuova preoccupazione dopo che è stato scoperto che alcuni profili LinkedIn dei lavoratori di TikTok mostrano che stanno lavorando contemporaneamente per i media statali cinesi.
