הפרצה הזאת יכולה להשפיע על יותר מ-1.5 מיליארד התקנות טיקטוק מחנות גוגל פליי.
לאחר בדיקות פנימיות, מיקרוסופט גילתה ניצול בגרסת האנדרואיד של טיקטוק שיכול היה לתת לתוקפים גישה לכמויות עצומות של נתונים אישיים בלחיצה אחת.
הפרצה כבר תוקנה, ולא נראה שמישהו הושפע מהניצול. התוקפים היו יכולים להשתמש בפרצה זו כדי לגשת לפרופילי משתמשים, ולאפשר לכוחות חיצוניים לפרסם סרטונים פרטיים, לשלוח הודעות ואפילו להעלות סרטונים.
הניצול ניצל את הדרך שבה טיקטוק (TikTok) מטפלת בקוד WebView על ידי עקיפת אימות קישורים עמוק. כאשר משתמש טיקטוק בוחר קישור פנימי, כתובת ה-URL יכולה לגשת לגשת לגשרים של ג’אווה סקריפט (JavaScript) שהעניקו לתוקפים פונקציונליות בחשבון. גשרי ג’אווה סקריפט ממשיכים להוות סיכון אבטחה במגוון אפליקציות, ומיקרוסופט, בפוסט בבלוג, הדגישה כיצד “… שיתוף פעולה בתוך קהילת האבטחה נחוץ כדי לשפר את ההגנות עבור המערכת האקולוגית הדיגיטלית הכוללת”.
הניצול יכול היה להשפיע על יותר מ-1.5 מיליארד התקנות טיקטוק מחנות גוגל פליי.
הפרצה היא למעשה שילוב של מספר בעיות, שכאשר הן משולבות יחד, הן עלולות לתת לתוקפים גישה לחשבונות אלה. מיקרוסופט מפרטת את כל הממצאים שלה וכיצד גילתה את הניצול בפוסט המעמיק בבלוג שלה.
קשור: טיקטוק אוסרת על משפיענים ליצור מודעות פוליטיות בתשלום
כאשר מיקרוסופט הודיעה לצוות האבטחה של טיקטוק על הבעיה, הם “הגיבו על ידי שחרור תיקון כדי לטפל בפגיעות המדווחת, שזוהתה כעת כ- CVE-2022-28799, ומשתמשים יכולים לעיין בערך CVE לקבלת מידע נוסף. אנו מברכים על ההחלטה היעילה והמקצועית של צוות האבטחה של טיקטוק”.
החדשות על הניצול הזה מגיעות בעקבות דיווחים תכופים על איסוף הנתונים המופרז של טיקטוק. יש לקוות שהתיקון המהיר הזה משקף עד כמה החברה לוקחת ברצינות את נתוני המשתמשים ואת הפרטיות שלהם. גם מיקרוסופט וגם טיקטוק ממליצות לכם לבדוק שוב כדי לוודא שאתם נמצאים בגרסה העדכנית של האפליקציה כדי למנוע בעיות.
