Wie diese Sicherheitslücke die TikTok-Android-App aufgedeckt hat
Microsoft hat festgestellt, dass dieser Fehler in allen Versionen der TikTok-Android-App vorhanden war, die mehr als 1,5 Milliarden Mal installiert wurde. Die Android-Version der TikTok-App wird ausgiebig genutzt JavaScript Schnittstellen und der Technologieriese bewiesen, dass diese Schnittstellen ausgenutzt werden können, um Benutzer zu schikanieren. Durch die Kombination, wie Android URLs weiterleitet, und die Ausnutzung der Handhabung von JavaScript-Schnittstellen durch die App konnte Microsoft auch eine Kontokompromittierung nachweisen.
Laut dem Blog-Beitrag ermöglichte diese Schwachstelle „das Umgehen der Deep-Link-Überprüfung der App“. Dadurch hätten die Angreifer „die App dazu zwingen können, eine beliebige URL zu der App zu laden WebViewsodass die URL dann auf die an WebView angehängten JavaScript-Bridges zugreifen und Angreifern Funktionen gewähren kann“, fügte der Blog hinzu.
Wie diese Schwachstelle missbraucht werden könnte
Laut dem Blog hätten Hacker, wenn sie diese Schwachstelle ausnutzen würden, mit einem einzigen Klick von den Benutzern auf Konten zugreifen können. Der Blog erwähnt sogar, dass Angreifer sogar einen kompromittierten Link per E-Mail oder anderen Online-Messaging-Diensten verbreitet haben könnten.
Ein einziges Tippen auf diese Links hätte die Benutzer schikaniert, indem es Hackern den Zugriff auf ihre TikTok-Konten ermöglicht und Ihr Konto sofort kompromittiert hätte. Cyberangreifer hätten diese Schwachstelle nutzen können, um im Namen der Opfer private Videos zu veröffentlichen, Nachrichten zu versenden und Videos hochzuladen.
Wie TikTok auf diese Sicherheitslücke reagiert hat
Microsofts 365 Verteidiger-Forschungsteam entdeckte die Sicherheitslücke erstmals im Februar und meldete sie TikTok zur Behebung. Das chinesische Social-Media-Unternehmen behauptete, diese Schwachstelle behoben zu haben, und glaubt, dass keines der Konten kompromittiert wurde.
Darüber hinaus bestätigte sogar Microsoft, dass die Schwachstelle behoben wurde und das Unternehmen über den Blog „keine Beweise für eine Ausnutzung in freier Wildbahn“ finden konnte. Darüber hinaus hat TikTok auch behauptet, dass es „keine Beweise“ dafür gebe, dass der Fehler von Cyber-Angreifern ausgenutzt wird.
Wie Benutzer sicher bleiben können
Der Blog schlägt auch vor, dass die meisten TikTok-Benutzer auf Android den Patch bereits erhalten haben. Benutzer, die sich ihrer Sicherheit nicht sicher sind, sollten ihre App jedoch auf die neueste Version aktualisieren. Darüber hinaus sollten Benutzer auch versuchen, den Absender zu überprüfen, bevor sie auf einen Link klicken, der von einer unbekannten E-Mail-Adresse oder Telefonnummer gesendet wurde.