Emiatt a hiba miatt törhetők fel a TikTok fiókok Androidon, frissítsen!

A Microsoft fedezte fel azt a sérülékenységet (CVE-2022-28799), aminek kihasználása lehetővé teszi a támadók számára, hogy egyetlen kattintással eltérítsék a TikTok felhasználók fiókjait. A biztonsági hiba az androidos alkalmazást érinti, több mint 1,5 milliárd felhasználó érintett a sérülékenységben.

A Microsoft közleménye szerint a TikTok fiókok eltérítéséhez elegendő lett volna egy speciálisan kialakított link, amire ha a felhasználó rákattint, a támadók hozzáférhetnek az áldozat TikTok profiljához, és módosíthatják az ott található tartalmakat és beállításokat, például közzétehetik a privát videókat, üzeneteket küldhetnek és videókat tölthetnek fel az áldozat nevében. A sérülékenység a weboldalak JavaScript kódjait kezelő interfész hibás implementálásából ered, ami az androidos WebView rendszerkomponens része.

Az alkalmazások a WebView segítségével töltik be és jelenítik meg a weboldalakat, valamint ez lehetővé teszi a weboldalak JavaScript kódjainak, hogy meghívják az alkalmazás egy adott osztályának adott Java metódusait. Ha nem megbízható tartalom kerül betöltésre a WebView-ba, az alkalmazás sebezhetővé válik a JavaScript interfész befecskendezésekkel (injection) szemben, ami adatszivárgáshoz, adatsérüléshez vagy bizonyos esetekben tetszőleges kódfuttatáshoz is vezethet.

A Microsoftnak nincs információja arra vonatkozóan, hogy támadók a sérülékenységet kihasználták volna, azonban az érintett felhasználóknak mindenképp javasolt az alkalmazás mielőbbi frissítése, valamint tartózkodni az ismeretlen forrásból érkező linkek megnyitásától.

(securityaffairs.co)