Microsoft ha scoperto una vulnerabilità nell’app TikTok per Android che potrebbe consentire agli hacker di dirottare gli account con un semplice clic.

A febbraio dopo la segnalazione di Microsoft a TikTok, l’azienda ha rapidamente risolto il bug. Microsoft ha confermato di non essere a conoscenza di attacchi in the wild che sfruttano il bug.

Secondo gli esperti il difetto ha impattato sull’app Android, che su Google Play Store ha avuto oltre 1,5 miliardi di download.

Gli aggressori avrebbero potuto sfruttare la vulnerabilità per dirottare un account all’insaputa degli utenti se un utente target avesse semplicemente fatto clic su un collegamento appositamente predisposto. Gli aggressori avrebbero quindi potuto accedere e modificare i profili TikTok e le informazioni sensibili degli utenti, ad esempio pubblicizzando video privati, inviando messaggi e caricando video per conto degli utenti”, scrive Microsoft nel post pubblicato.

Secondo il Team di ricerca di Microsoft 365 Defender la vulnerabilità ha consentito di aggirare la verifica del deeplink dell’app. Così forzando l’app gli attaccanti potrebbero caricare un URL arbitrario nella visualizzazione Web dell’app, e permettere all’URL di accedere ai bridge JavaScript allegati della visualizzazione Web e concedere funzionalità agli attaccanti.

In questo post del blog, condividiamo informazioni sui problemi che abbiamo scoperto, esaminiamo come avrebbero potuto essere sfruttati in un attacco per rilevare rapidamente e silenziosamente gli account degli utenti presi di mira e illustrare le migliori pratiche e le protezioni. Poiché le minacce su tutte le piattaforme continuano a crescere, condividiamo anche i dettagli della nostra ricerca, divulgazione e collaborazione con la più ampia comunità di sicurezza nel tentativo di migliorare continuamente la sicurezza per tutti, indipendentemente dalla piattaforma o dal dispositivo in uso”, scrivono i ricercatori.

 

Per i dettagli tecnici: https://www.microsoft.com/security/blog/2022/08/31/vulnerability-in-tiktok-android-app-could-lead-to-one-click-account-hijacking/

 

Altre fonti:

https://securityaffairs.co/wordpress/135125/mobile-2/tiktok-android-app-bug.html

 

Twitter
Visit Us
LinkedIn
Share
YOUTUBE