Een TikTok-kwetsbaarheid had hackers in staat kunnen stellen om met één klik gebruikersaccounts op de korte video-app te kapen, zeiden onderzoekers van Microsoft woensdag.
De kwetsbaarheid, geïdentificeerd als CVE-2022-28799, trof versies van TikTok’s Android-app, die samen meer dan 1,5 miljard installaties bevatten. In een uitgebreid artikel zei het 365 Defender Research Team van Microsoft dat het in februari contact heeft opgenomen met TikTok over de bug en dat het bedrijf snel een oplossing voor de kwetsbaarheid heeft uitgebracht.
“We prijzen de efficiënte en professionele oplossing van het TikTok-beveiligingsteam”, aldus de onderzoekers. “TikTok-gebruikers worden aangemoedigd om ervoor te zorgen dat ze de nieuwste versie van de app gebruiken.”
De bug betrof de manier waarop TikTok programmeerde wat bekend staat als deeplinking – een Android-functie waarmee apps bepaalde links op specifieke manieren kunnen verwerken. Deeplinking wordt goedaardig gebruikt wanneer bijvoorbeeld de Reddit-app automatisch wordt geopend op een telefoon nadat de gebruiker op een insluitknop in Chrome heeft geklikt.
Volgens Microsoft zorgde de kwetsbaarheid ervoor dat TikTok’s deeplink-verificatieproces werd omzeild. “Aanvallers kunnen de app dwingen een willekeurige URL naar de WebView van de app te laden, waardoor de URL vervolgens toegang krijgt tot de bijgevoegde JavaScript-bruggen van WebView en functionaliteit aan aanvallers verleent”, schreven de onderzoekers.
Het resultaat is dat een aanvaller het beveiligingslek kan gebruiken om namens gebruikers video’s te uploaden en berichten te verzenden, en om toegang te krijgen tot gevoelige informatie zoals privévideo’s.
Hoewel de kwetsbaarheid niet bijzonder eenvoudig was – het zou aanvallers vereisen om verschillende exploits aan elkaar te rijgen – was de levering eenvoudig. In een proof of concept dat door het bedrijf werd gedeeld, maakten de onderzoekers een kwaadaardige link die, wanneer erop werd geklikt, het profiel van een TikTok-account veranderde in “!! VEILIGHEIDSINBREUK !!”
Microsoft zei dat het geen bewijs heeft gevonden dat de bug in het wild is misbruikt. TikTok heeft niet gereageerd op een verzoek om commentaar.
Het bedrijf heeft de afgelopen jaren kritiek van wetgevers en regeringsfunctionarissen verworpen dat het een veiligheidsrisico vormt vanwege de gegevens die het verzamelt en zijn banden met China. Afgelopen februari zeiden onderzoekers van cyberbeveiligingsbedrijf Check Point dat een kwetsbaarheid de persoonlijke informatie van gebruikers blootlegde. Hetzelfde bedrijf ontdekte in 2020 bugs waardoor hackers accounts konden overnemen door gebruikers berichten te sturen met kwaadaardige links.