Уязвимость TikTok могла позволить хакерам получить доступ к вашей учетной записи одним щелчком мыши

Будущие технологии и их применение

Уязвимость в приложении TikTok для Android могла позволить хакерам захватить любую учетную запись, которая просто нажимала на вредоносную ссылку.

Эксплойт, обнаруженный исследовательской группой Microsoft 365 Defender Research Team , дали бы злоумышленнику возможность отправлять сообщения, загружать видео и просматривать личные видео учетной записи.

О проблеме, обозначенной Microsoft как «уязвимость высокой степени серьезности», быстро сообщили в TikTok, и с тех пор она была исправлена.

В сообщении в блоге об обнаружении Microsoft говорит, что ошибка, вероятно, затронула не менее 1,5 миллиарда пользователей по всему миру, хотя нет никаких доказательств того, что она активно использовалась.

Уязвимость возникла из-за «глубокой ссылки» приложения Android. 8221; функциональность, которая, например, позволяет автоматически открывать приложение TikTok после того, как пользователь щелкнет ссылку TikTok в веб-браузере или отдельном приложении.

Microsoft заявляет, что смогла обойти “приложение& #8217;проверка внешних ссылок,” что может привести к загрузке вредоносной веб-страницы.

“Проверяя, как приложение обрабатывает конкретную ссылку на контент, мы обнаружили несколько проблем, которые, будучи объединены в цепочку, могли быть использованы для принудительного запуска приложения. для загрузки произвольного URL-адреса в WebView приложения” говорится в сообщении в блоге.

После проведения атаки для проверки концепции исследователи Microsoft смогли изменить биографию учетной записи TikTok на «НАРУШЕНИЕ БЕЗОПАСНОСТИ». после перехода по вредоносной ссылке.

Чтобы защититься от таких атак, Microsoft призывает пользователей избегать перехода по ненадежным ссылкам и всегда использовать последнюю версию TikTok. приложение.

Microsoft также подчеркивает важность сотрудничества в технологической отрасли, чтобы обеспечить защиту пользователей от злоумышленников.

«Поскольку число угроз на разных платформах продолжает расти, изощренность, раскрытие информации об уязвимостях, скоординированное реагирование и другие формы обмена информацией об угрозах необходимы для обеспечения безопасности работы пользователей на компьютере, независимо от используемой платформы или устройства», — добавляется в блоге. «Мы продолжим работать с более широким сообществом специалистов по безопасности, чтобы делиться исследованиями и информацией об угрозах, чтобы создать лучшую защиту для всех».