Een ‘hoge ernst’ TikTok-kwetsbaarheid maakte het mogelijk om met één klik een account te kapen

0
38


Door een kwetsbaarheid in de TikTok-app voor Android zouden aanvallers elk account kunnen overnemen dat op een kwaadaardige link heeft geklikt, met mogelijk gevolgen voor honderden miljoenen gebruikers van het platform.

Details van de exploit met één klik werden vandaag onthuld in een blogpost van onderzoekers van het 365 Defender Research Team van Microsoft. Het beveiligingslek is door Microsoft aan TikTok bekendgemaakt en is sindsdien gepatcht.

De bug en de resulterende aanval, bestempeld als een “zeer ernstige kwetsbaarheid”, zouden kunnen zijn gebruikt om het account van een TikTok-gebruiker op Android te kapen zonder hun medeweten, zodra ze op een speciaal vervaardigde link hadden geklikt. Nadat op de link was geklikt, zou de aanvaller toegang hebben tot alle primaire functies van het account, inclusief de mogelijkheid om video’s te uploaden en te plaatsen, berichten naar andere gebruikers te sturen en privévideo’s te bekijken die in het account zijn opgeslagen.

De potentiële impact was enorm, aangezien het alle wereldwijde varianten van de Android TikTok-app trof, die in totaal meer dan 1,5 miljard downloads heeft in de Google Play Store. Er is echter geen bewijs dat het werd uitgebuit door slechte acteurs.

“Door onze samenwerking met beveiligingsonderzoekers bij Microsoft hebben we een kwetsbaarheid in sommige oudere versies van de Android-app ontdekt en snel verholpen”, zegt TikTok-woordvoerder Maureen Shanahan. “We waarderen de Microsoft-onderzoekers voor hun inspanningen om mogelijke problemen te helpen identificeren, zodat we ze kunnen oplossen.”

Microsoft bevestigde dat TikTok snel op het rapport reageerde. “We hebben ze informatie gegeven over de kwetsbaarheid en hebben samengewerkt om dit probleem op te lossen”, zegt Tanmay Ganacharya, partnerdirecteur voor beveiligingsonderzoek bij Microsoft Defender for Endpoint. De rand. “TikTok reageerde snel en we prijzen de efficiënte en professionele oplossing van het beveiligingsteam.”

Volgens details die in de blogpost zijn gepubliceerd, had de kwetsbaarheid gevolgen voor de deep link-functionaliteit van de Android-app. Deze verwerking van deeplinks vertelt het besturingssysteem om bepaalde apps links op een specifieke manier te laten verwerken, zoals het openen van de Twitter-app om een ​​gebruiker te volgen na het klikken op een HTML-knop “Volg dit account” die in een webpagina is ingesloten.

Deze koppelingsafhandeling omvat ook een verificatieproces dat de acties moet beperken die worden uitgevoerd wanneer een toepassing een bepaalde link laadt. Maar de onderzoekers vonden een manier om dit verificatieproces te omzeilen en een aantal potentieel bewapenbare functies binnen de app uit te voeren.

Met een van deze functies kunnen ze een authenticatietoken ophalen dat is gekoppeld aan een bepaald gebruikersaccount, waardoor accounttoegang wordt verleend zonder dat een wachtwoord hoeft in te voeren. In een proof-of-concept-aanval maakten de onderzoekers een kwaadaardige link die, wanneer erop werd geklikt, de bio van een TikTok-account veranderde in “BEVEILIGINGSINBREUK”.

Een screenshot van een gecompromitteerd account.
Microsoft

Gelukkig is de kwetsbaarheid ontdekt en heeft Microsoft van de gelegenheid gebruik gemaakt om het belang van samenwerking en coördinatie tussen technologieplatforms en leveranciers te benadrukken.

“Omdat bedreigingen op verschillende platforms blijven groeien in aantal en verfijning, zijn kwetsbaarheidsonthullingen, gecoördineerde respons en andere vormen van het delen van bedreigingsinformatie nodig om de computerervaring van gebruikers te beveiligen, ongeacht het platform of apparaat dat wordt gebruikt”, schreef Dimitrios Valsamaras van Microsoft. in de blogpost. “We zullen blijven samenwerken met de grotere beveiligingsgemeenschap om onderzoek en informatie over bedreigingen te delen in een poging om een ​​betere bescherming voor iedereen op te bouwen.”

Hoewel bekend is dat de TikTok-app tot nu toe geen grote hacks heeft ondergaan, hebben sommige critici het om andere redenen als een beveiligingsrisico bestempeld.

Onlangs zijn er zorgen geuit over de mate waarin de gegevens van Amerikaanse gebruikers toegankelijk zijn voor in China gevestigde technici van ByteDance, het moederbedrijf van TikTok. In juli riepen de leiders van de inlichtingencommissie van de Senaat FTC-voorzitter Lina Khan op om TikTok te onderzoeken nadat rapporten de beweringen in twijfel hadden getrokken dat de gegevens van Amerikaanse gebruikers waren afgeschermd van de Chinese tak van het bedrijf.

Correctie en update 31 augustus, 14:35 ET: In een eerdere versie van dit artikel stond dat TikTok niet op publicatietijd reageerde. The Verge ontving zelfs commentaar, maar nam het niet op. We betreuren de fout.

Correctie 1 september, 8:35 ET: Door een bewerkingsfout zijn regels uit dit stuk verkeerd toegeschreven aan een TikTok-woordvoerder. Het citaat is nu gecorrigeerd.

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in