Een ernstige kwetsbaarheid die door Microsoft is gevonden in de TikTok Android-app had hackers in staat kunnen stellen miljoenen accounts te kapen. Woensdag maakte het bedrijf een exploit met één klik bekend waarover het in februari TikTok heeft geïnformeerd. Het goede nieuws is dat het socialemediabedrijf de kwetsbaarheid onmiddellijk heeft gepatcht vóór de onthulling van vandaag en Microsoft zegt dat het geen bewijs heeft dat iemand het in het wild heeft gebruikt.
“We hebben ze informatie gegeven over het beveiligingslek en hebben samengewerkt om dit probleem op te lossen”, vertelde Tanmay Ganacharya van Microsoft . “TikTok reageerde snel en we prijzen de efficiënte en professionele oplossing van het beveiligingsteam.”
Volgens Microsoft betrof de kwetsbaarheid een onoplettendheid met de deeplinking-functionaliteit van TikTok. Op Android kunnen ontwikkelaars hun apps programmeren om bepaalde URL’s op specifieke manieren te verwerken. Als u bijvoorbeeld op een Twitter-embed in Chrome tikt en de Twitter-app als gevolg daarvan automatisch op uw telefoon wordt geopend, is dat een voorbeeld van hoe de deeplinkfunctie werkt zoals bedoeld.
Microsoft heeft echter een manier gevonden om het verificatieproces te omzeilen dat TikTok had om te voorkomen dat deep links bepaalde acties uitvoeren. Vervolgens ontdekten ze dat ze die kwetsbaarheid konden gebruiken om toegang te krijgen tot alle primaire functies van een account, inclusief de mogelijkheid om inhoud te plaatsen en andere TikTok-gebruikers berichten te sturen. De fout was aanwezig in beide wereldwijde versies van TikTok’s Android-app. De twee releases hebben samen meer dan 1,5 miljard downloads, wat betekent dat de potentiële impact van iemand die de kwetsbaarheid ontdekt voordat deze werd gepatcht enorm zou kunnen zijn.
Microsoft raadt alle TikTok-gebruikers op Android aan om de nieuwste versie van de app zo snel mogelijk te downloaden. Meer in het algemeen kun je jezelf in de toekomst beschermen tegen soortgelijke exploits door niet op schetsmatige links te klikken. Het is ook een goede gewoonte om het sideloaden van apps te vermijden, omdat je niet weet hoe iemand de APK kan hebben gewijzigd.