Более миллиарда пользователей TikTok подверглись «взлому аккаунта в один клик»
2 сентября 2022 г.Уязвимость высокого уровня опасности в приложении TikTok для Android могла привести к взлому учетных записей «одним щелчком мыши», как сообщила Microsoft.
В paper , опубликованном в блоге Microsoft Security, компания сообщила, что цепочка проблем могла быть использована для создания сценария, при котором учетная запись может быть скомпрометирована одним нажатием специально созданной ссылки.
«Злоумышленники могли затем получить доступ и изменить профили пользователей TikTok и конфиденциальную информацию, например, опубликовав личные видео, отправив сообщения и загрузив видео от имени пользователей», — пояснила Microsoft.
ошибка безопасности TikTok
Сообщается, что рассматриваемая уязвимость присутствует во всех версиях клиента TikTok для Android, которые в совокупности были установлены более 1,5 миллиарда раз.
Проблема возникла вокруг реализации в приложении интерфейсов JavaScript, которые широко используются в TikTok для Android. Отчет погружается в технические подробности, но, по сути, используя обработку интерфейсов JavaScript приложением в сочетании с тем, как Android маршрутизирует URL-адреса, Microsoft смогла продемонстрировать компрометацию учетной записи.
К счастью, исследователи не обнаружили никаких доказательств того, что уязвимость использовалась в дикой природе, и проблема была исправлена вскоре после того, как проблема была раскрыта еще в феврале. По словам Microsoft, команду безопасности TikTok следует похвалить за быстроту и эффективность ее реакции.
"Этот случай показывает, как способность координировать исследования и обмен информацией об угрозах с помощью экспертного межотраслевого сотрудничества необходима для эффективного устранения проблем", – сказал Димитриос Вальсамарас из исследовательской группы Microsoft 365 Defender.
«Поскольку число и сложность угроз на разных платформах продолжает расти, раскрытие информации об уязвимостях, скоординированное реагирование и другие формы обмена информацией об угрозах необходимы для обеспечения безопасности работы пользователей на компьютерах, независимо от используемой платформы или устройства».
Хотя исправление уже установлено для большинства пользователей TikTok, заинтересованные пользователи могут гарантировать свою защиту, обновив свое приложение до последней версии.
- Добавьте дополнительный уровень защиты своим аккаунтам с помощью лучших электронных ключей
Оригинал