Podczas gdy świat jest zajęty szaleństwem na temat aplikacji TikTok, użytkownicy słynnej platformy do udostępniania wideo nie mają pojęcia, że prawie padli ofiarą na lukę, która kilka miesięcy temu mogła pozwolić złym podmiotom włamać się na ich konta. Na szczęście udało się temu zapobiec, zanim został zauważony przez złych aktorów po tym, jak Microsoft zgłosił ją do TikTok, która natychmiast ją rozwiązała.
Microsoft zauważył lukę oznaczoną jako „CVE-2022-28799” i zgłosił ją TikTok w lutym zeszłego roku. skoordynowane ujawnianie luk w zabezpieczeniach (CVD) za pośrednictwem Microsoft Security Vulnerability Research (MSVR). Według giganta technologicznego problem miał wysoki status ważności z wynikiem 8,3.
Chociaż nie znaleziono dowodów na to, że CVE-2022-28799 został wykorzystany na wolności, luka ta spowodowała utratę miliardów użytkowników TikTok konta w niebezpieczeństwie. W szczególności problem dotyczył użytkowników aplikacji na Androida, która ma różne warianty z połączonymi instalacjami ponad 1,5 miliarda pobrań w sklepie Google Play. Jeśli się powiedzie, mogłoby to pozwolić złym aktorom na wchodzenie na różne konta, publikowanie filmów i oglądanie prywatnych, czytanie wiadomości użytkownika, pobieranie danych konta, a nawet modyfikowanie ustawień.
Przykład zhakowanego konta TikTok udostępnionego przez Microsoft.
Atak może rozpocząć się, gdy użytkownik kliknie „specjalnie spreparowany złośliwy link”. Według Microsoftu stało się to możliwe, gdy odkryto, że CVE-2022-28799 pozwala na ominięcie weryfikacji deeplink aplikacji TikTok. „Atakujący mogą zmusić aplikację do załadowania dowolnego adresu URL do WebView aplikacji, umożliwiając adresowi URL dostęp do dołączonych mostków JavaScript WebView i udzielanie funkcji atakującym” – wyjaśnił zespół Microsoft 365 Defender w swoim wpis na blogu.
Dzięki temu firma Microsoft zachęcała użytkowników do zapobiegania podobnym scenariuszom, przestrzegając niektórych wytycznych dotyczących bezpieczeństwa, takich jak ignorowanie linków z niezaufanych źródeł, regularne aktualizowanie urządzeń i aplikacji, unikanie instalacji aplikacji z niezaufanych źródeł oraz raportowanie. Ponadto firma pochwaliła szybkie działanie wykonywane przez TikTok, podkreślając znaczenie współpracy.
„Ten przypadek pokazuje, w jaki sposób zdolność do koordynowania badań i udostępniania informacji o zagrożeniach za pośrednictwem eksperckiej współpracy międzybranżowej jest niezbędna do skutecznego łagodzić problemy”, powiedział Microsoft. „Ponieważ liczba i zaawansowanie zagrożeń na różnych platformach stale rośnie, ujawnianie luk w zabezpieczeniach, skoordynowana reakcja i inne formy udostępniania informacji o zagrożeniach są potrzebne, aby pomóc chronić środowisko komputerowe użytkowników, niezależnie od używanej platformy lub urządzenia. Będziemy nadal współpracować z większą społecznością zajmującą się bezpieczeństwem, aby dzielić się badaniami i informacjami na temat zagrożeń w celu stworzenia lepszej ochrony dla wszystkich”.
Pomimo tego problemy spowodowane przez luki nie są jedynymi problemami związanymi z bezpieczeństwem z jakimi spotykają się użytkownicy TikTok. ByteDance i TikTok są przez wielu kwestionowane z powodu doniesień o wykorzystywaniu ich przez chiński rząd do własnych celów. Poza raportem stwierdzającym, że pracownicy TikTok wielokrotnie uzyskiwali dostęp do Dane użytkowników z USA z Chin, nowy problem pojawił się po odkryciu, że niektóre profile LinkedIn pracowników TikTok pokazują, że jednocześnie pracują dla chińskich mediów państwowych.
