O vulnerabilitate gravă găsită de Microsoft în aplicația TikTok pentru Android ar fi putut permite hackerilor să deturneze milioane de conturi.
Miercuri, echipa de cercetare 365 Defender a companiei a detaliat o exploatare cu un singur clic despre care spune că a informat TikTok în februarie. Vestea bună este că compania de social media a corectat rapid vulnerabilitatea înainte de dezvăluirea de astăzi și Microsoft spune că nu are nicio dovadă că cineva o folosește în sălbăticie.
„Le-am oferit informații despre vulnerabilitate și am colaborat pentru a ajuta la remedierea acestei probleme. TikTok a răspuns rapid și lăudăm rezoluția eficientă și profesională din partea echipei de securitate.”
a declarat Tanmay Ganacharya de la Microsoft
Potrivit Microsoft, vulnerabilitatea a implicat o neglijare a funcționalității de legare profundă a TikTok. Pe Android, dezvoltatorii își pot programa aplicațiile pentru a gestiona anumite adrese URL în moduri specifice. De exemplu, atunci când atingeți o încorporare Twitter în Chrome și, ca rezultat, aplicația Twitter se deschide automat pe telefon, acesta este un exemplu al funcției de conectare profundă care funcționează conform intenției.
Cu toate acestea, Microsoft a găsit o modalitate de a ocoli procesul de verificare pe care TikTok l-a pus în aplicare pentru a restricționa legăturile profunde de la executarea anumitor acțiuni. Apoi au descoperit că ar putea folosi această vulnerabilitate pentru a accesa toate funcțiile principale ale unui cont, inclusiv capacitatea de a posta conținut și de a trimite mesaje altor utilizatori TikTok.
Această vulnerabilitate a fost prezentă în ambele versiuni globale ale aplicației Android ale TikTok. Cele două versiuni au peste 1,5 miliarde de descărcări între ele, ceea ce înseamnă că impactul potențial al descoperirii unei vulnerabilități înainte ca aceasta să fie corectată ar fi putut fi masiv.
Microsoft recomandă tuturor utilizatorilor TikTok de pe Android să descarce cea mai recentă versiune a aplicației cât mai curând posibil. În sens mai larg, vă puteți proteja în viitor de exploatări similare, fără a da clic pe link-uri incomplete. De asemenea, este o practică bună să evitați încărcarea aplicațiilor laterale, deoarece nu știți cum ar fi putut cineva să modifice APK-ul.