Een zeer ernstige kwetsbaarheid in de TikTok Android-applicatie had ertoe kunnen leiden dat accounts “met een enkele klik” werden gekaapt, heeft Microsoft onthuld.
In een papier (opent in nieuw tabblad) gepubliceerd op het Microsoft Security-blog, meldde het bedrijf dat een reeks problemen zou kunnen zijn misbruikt om een scenario te creëren waarbij een account kan worden gecompromitteerd met een enkele druk op een speciaal vervaardigde link.
“Aanvallers zouden vervolgens de TikTok-profielen en gevoelige informatie van gebruikers hebben kunnen openen en wijzigen, bijvoorbeeld door privévideo’s te publiceren, berichten te verzenden en video’s te uploaden namens gebruikers”, legt Microsoft uit.
TikTok-beveiligingsfout
De kwetsbaarheid in kwestie zou aanwezig zijn geweest in alle versies van de TikTok Android-client, die gezamenlijk meer dan 1,5 miljard keer.
Het probleem draaide om de implementatie van de app JavaScript interfaces, die veel worden gebruikt in TikTok voor Android. Het rapport duikt in de technische details, maar in wezen, door gebruik te maken van de verwerking van JavaScript-interfaces door de app, in combinatie met de manier waarop Android URL’s routeert, kon Microsoft een accountcompromis aantonen.
Gelukkig hebben de onderzoekers geen enkel bewijs gevonden dat de kwetsbaarheid in het wild is misbruikt – en het probleem was: gepatched kort nadat het probleem in februari werd onthuld. Volgens Microsoft moet het TikTok-beveiligingsteam worden geprezen voor de snelheid en efficiëntie van zijn reactie.
“Deze casus laat zien hoe het vermogen om onderzoek en het delen van dreigingsinformatie te coördineren via deskundige, sectoroverschrijdende samenwerking noodzakelijk is om problemen effectief te verminderen”, zegt Dimitrios Valsamaras, van het Microsoft 365 Defender Research Team.
“Omdat bedreigingen op verschillende platforms blijven groeien in aantal en verfijning, zijn kwetsbaarheidsonthullingen, gecoördineerde respons en andere vormen van het delen van bedreigingsinformatie nodig om de computerervaring van gebruikers te beveiligen, ongeacht het platform of apparaat dat wordt gebruikt.”
Hoewel de patch al zijn weg heeft gevonden naar de meeste TikTokers, kunnen bezorgde gebruikers garanderen dat ze beschermd zijn door hun app bij te werken naar de nieuwste versie.