Microsoft сообщила, что серьезная уязвимость в приложении TikTok для Android могла позволить захватить учетные записи «одним щелчком мыши».
В бумага (откроется в новой вкладке) опубликовано в блоге Microsoft Security, компания сообщила, что цепочка проблем могла быть использована для создания сценария, при котором учетная запись может быть скомпрометирована одним нажатием специально созданной ссылки.
«Затем злоумышленники могли получить доступ и изменить профили пользователей TikTok и конфиденциальную информацию, например, опубликовав личные видео, отправив сообщения и загрузив видео от имени пользователей», — пояснили в Microsoft.
Ошибка безопасности TikTok
Утверждается, что рассматриваемая уязвимость присутствует во всех версиях клиента TikTok для Android, которые в совокупности были установлены более 1,5 лет назад. миллиард раз.
Проблема была связана с реализацией приложения JavaScript интерфейсы, которые широко используются в TikTok для Android. Отчет погружается в технические подробности, но, по сути, используя обработку интерфейсов JavaScript приложением в сочетании с тем, как Android маршрутизирует URL-адреса, Microsoft смогла продемонстрировать компрометацию учетной записи.
К счастью, исследователи не обнаружили никаких доказательств того, что уязвимость использовалась в дикой природе, и проблема была решена. исправлен вскоре после того, как проблема была раскрыта еще в феврале. По словам Microsoft, команду безопасности TikTok следует похвалить за быстроту и эффективность ее реакции.
«Этот случай показывает, как способность координировать исследования и обмен информацией об угрозах с помощью экспертного межотраслевого сотрудничества необходима для эффективного устранения проблем», — сказал Димитриос Вальсамарас из исследовательской группы Microsoft 365 Defender.
«Поскольку количество и сложность угроз на разных платформах продолжают расти, раскрытие информации об уязвимостях, скоординированное реагирование и другие формы обмена информацией об угрозах необходимы для обеспечения безопасности работы пользователей на компьютерах, независимо от используемой платформы или устройства».
Хотя патч уже установлен для большинства пользователей TikTok, заинтересованные пользователи могут гарантировать свою защиту, обновив свое приложение до последней версии.
