Android için TikTok uygulamasındaki bir güvenlik açığı, saldırganların kötü amaçlı bir bağlantıya tıklayan herhangi bir hesabı ele geçirmesine ve potansiyel olarak platformun yüz milyonlarca kullanıcısını etkilemesine izin verebilirdi.
Tek tıklamayla istismarın ayrıntıları bugün bir basın toplantısında açıklandı. Blog yazısı Microsoft’un 365 Defender Araştırma Ekibindeki araştırmacılardan. Güvenlik açığı Microsoft tarafından TikTok’a açıklandı ve o zamandan beri yamalandı.
Hata ve bunun sonucunda ortaya çıkan ve “yüksek önemde güvenlik açığı” olarak adlandırılan saldırı, özel hazırlanmış bir bağlantıya tıkladıktan sonra, Android’deki herhangi bir TikTok kullanıcısının hesabını bilgisi olmadan ele geçirmek için kullanılmış olabilir. Bağlantı tıklandıktan sonra saldırgan, video yükleme ve yayınlama, diğer kullanıcılara mesaj gönderme ve hesapta depolanan özel videoları görüntüleme dahil olmak üzere hesabın tüm temel işlevlerine erişebilir.
Google Play Store’da toplamda 1,5 milyardan fazla indirilen Android TikTok uygulamasının tüm küresel türevlerini etkilediği için potansiyel etki çok büyüktü. Ancak, geniş ölçekte istismar edildiğine dair bir kanıt yok. Keşif ve ifşa ile ilgili araştırmacılar, hızlı bir yanıt için TikTok’u övdü.
Microsoft Defender for Endpoint güvenlik araştırması ortak direktörü Tanmay Ganacharya, “Onlara güvenlik açığı hakkında bilgi verdik ve bu sorunu çözmeye yardımcı olmak için işbirliği yaptık” dedi. Sınır. “TikTok hızlı bir şekilde yanıt verdi ve güvenlik ekibinin verimli ve profesyonel kararını takdir ediyoruz.”
Blog gönderisinde yayınlanan ayrıntılara göre, güvenlik açığı aşağıdakileri etkiledi: derin bağlantı Android uygulamasının işlevselliği. Bu derin bağlantı işleme, işletim sistemine, bir web sayfasına yerleştirilmiş bir HTML “Bu hesabı takip et” düğmesini tıkladıktan sonra bir kullanıcıyı takip etmek için Twitter uygulamasını açmak gibi belirli uygulamaların bağlantıları belirli bir şekilde işlemesine izin vermesini söyler.
Bu bağlantı işleme, bir uygulama belirli bir bağlantıyı yüklediğinde gerçekleştirilen eylemleri kısıtlaması gereken bir doğrulama sürecini de içerir. Ancak araştırmacılar, bu doğrulama sürecini atlamanın ve uygulama içinde potansiyel olarak silaha dönüştürülebilir bir dizi işlevi yürütmenin bir yolunu buldular.
Bu işlevlerden biri, belirli bir kullanıcı hesabına bağlı bir kimlik doğrulama belirtecini almalarına izin vererek, parola girmeye gerek kalmadan etkin bir şekilde hesap erişimi sağlar. Bir kavram kanıtı saldırısında, araştırmacılar, tıklandığında bir TikTok hesabının biyografisini “GÜVENLİK İHLALİ” olarak değiştiren kötü niyetli bir bağlantı oluşturdular.
Neyse ki güvenlik açığı tespit edildi ve Microsoft, teknoloji platformları ve satıcılar arasındaki işbirliği ve koordinasyonun önemini vurgulamak için bu fırsatı kullandı.
Microsoft’tan Dimitrios Valsamaras, “Platformlar arasındaki tehditlerin sayısı ve karmaşıklığı artmaya devam ettikçe, kullanılan platform veya cihaz ne olursa olsun, kullanıcıların bilgi işlem deneyiminin güvenliğini sağlamaya yardımcı olmak için güvenlik açığı açıklamaları, koordineli yanıt ve diğer tehdit istihbaratı paylaşımı biçimlerine ihtiyaç duyulmaktadır” dedi. blog yazısında. Herkes için daha iyi koruma sağlamak amacıyla tehditler hakkında araştırma ve istihbarat paylaşmak için daha geniş güvenlik topluluğuyla birlikte çalışmaya devam edeceğiz” dedi.
TikTok uygulamasının şu ana kadar herhangi bir büyük saldırıya uğramadığı bilinmese de, bazı eleştirmenler bunu başka nedenlerle bir güvenlik riski olarak nitelendirdi.
Son zamanlarda, TikTok’un ana şirketi ByteDance’deki Çin merkezli mühendislerin ABD kullanıcılarının verilerine ne ölçüde erişilebileceği konusunda endişeler dile getirildi. Temmuz ayında, Senato İstihbarat Komitesi liderleri, FTC başkanı Lina Khan’ı TikTok’u soruşturmaya çağırdı.
TikTok, gelen sorulara yanıt vermedi Sınır yayın zamanına göre.