Vakava TikTok-haavoittuvuus – pääsy henkilökohtaisiin tietoihin yhdellä napsautuksella

Microsoft löysi sisäisessä testauksessaan haavoittuvuuden TikTokin Android-versiosta.

Haavoittuvuus olisi voinut antaa hyökkääjille pääsyn valtaviin määriin henkilökohtaisia ​​tietoja yhdellä napsautuksella. Haavoittuvuus on onneksi jo korjattu, eikä tiedossa ole tapauksia, joissa käyttäjät olisivat joutuneet kyseisen haavoittuvuuden vuoksi hyökkääjän kohteeksi.

Hyökkääjät olisivat voineet haavoittuvuuden löytäessään päästä käsiksi TikTokin käyttäjäprofiileihin, jolloin hyökkääjä olisi voinut julkistaa yksityisiä videoita, lähettää viestejä ja ladata videoita uhrin käyttäjänimellä palveluun.

Hyökkäys hyödynsi TikTokin tapaa käsitellä WebView-koodia. Kun TikTok-käyttäjä valitsi tietyn syvälinkin, URL-osoite saattoi käyttää JavaScript Interfaceja, jotka myöntävät hyökkääjille pääsyn tilille.

JavaScript Interfacet ovat edelleen turvallisuusriski useissa sovelluksissa, ja Microsoft korostikin blogikirjoituksessaan, että ”yhteistyö tietoturvayhteisön sisällä on välttämätöntä koko digitaalisen ekosysteemin puolustuksen parantamiseksi.”

Microsoft kertoo yksityiskohtaisessa blogikirjoituksessaan muistakin havainnoistaan ​​ja siitä, miten se löysi haavoittuvuuden.