Poważna luka TikToka. Jedno kliknięcie do przejęcia konta

Specjaliści Microsoftu wykryli poważną lukę w aplikacji TikToka na Androida. Podatność umożliwiała atakującym złamanie zabezpieczeń kont użytkowników za pomocą jednego kliknięcia. Wystarczyło, aby właściciel profilu wszedł w specjalnie spreparowany link. Do przejęcia dochodziło bez wiedzy ofiary.

W ten sposób sprawcy mogli uzyskać dostęp i modyfikować profile użytkowników TikToka, a także posiadać wgląd w poufne informacje.

Globalny problem

Ujawniona przez Microsoft luka pozwalała na ominięcie weryfikacji deeplink aplikacji. Problem dotyczył zarówno wersji apki na region Azji Wschodniej i Południowo-Wschodniej, jak i pozostałych obszarów (łącznie ponad 1,5 mld instalacji za pośrednictwem Google Play).

Zaktualizuj jak najszybciej

Koncern zawiadomił platformę o wykrytej podatności w lutym br. Szybko podjęto działania naprawcze, wydając łatkę niwelująca lukę CVE-2022-28799.

Użytkownicy TikToka powinni upewnić się, czy korzystają z najnowszej wersji aplikacji. Jeśli jeszcze jej nie zaktualizowali, powinni zrobić to jak najszybciej.

Pełna analiza przeprowadzona przez specjalistów Microsoftu jest dostępna pod linkiem.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].