Güvenlik araştırmacıları büyük bir delik ortaya çıkardıklarını açıkladı TikTok’un her bir kullanıcıyı etkileyen güvenliğinde kim sahip ki Uygulamayı dünya çapındaki Android cihazlara indirdi. Ancak, herhangi bir kullanıcının bu “yüksek önemde” güvenlik açığından etkilendiğine dair kalıcı bir ipucu varsa, TikTok bunu söylemiyor.
Microsoft 365 Defender araştırmacıları rapor edildi Çarşamba günü, TikTok uygulamasının Android sürümünde, kötü aktörlerin potansiyel olarak erişim elde etmesine izin verebilecek ciddi bir güvenlik açığı üzerine. tüm yönleriyle bir kullanıcılar hesap. Araştırmacılar, Şubat ayında TikTok’a istismarı açıkladıklarını söyledi. güvenlik açığı raporlama sayfası.
Sorun için bir düzeltme, bir ay içinde yayınlanan bir güncellemeye dahil edildi, ancak ne şirket ne de araştırmacılar istismarın ne kadar süredir var olduğunu söyleyemedi.
Bu istismar, kötü niyetli kişilerin özel bir bağlantıya tıklamaları durumunda bir kişinin hesabına erişmesine izin verir. Sistemin JavaScript’inde, erişimi olan kişiler kullanıcı bilgilerini veya profil ayarlarını değiştirebilir. Herhangi bir kötü oyuncu, özel videoları herkese açık hale getirebilir, arkadaşlarına veya yabancılara mesaj gönderebilirdi., hatta kullanıcının hesabına video yükleyin. Burada sorunlu olan çok şey var, ancak belki de en belirgin kullanım, şifreler, e-postalar veya diğer hassas veriler dahil olmak üzere kullanıcıların hesap bilgilerini toplamak olacaktır. Araştırmacılar şunları söyledi: güvenlik açığı “yüksek şiddette” olarak derecelendirildi.
TikTok, Gizmodo’nun konuyla ilgili sorularını yanıtlamadı Araştırmacılar, istismarın hem uygulamanın Doğu Asya versiyonunda hem de dünyanın geri kalanının kullandığı TikTok versiyonunda mevcut olduğunu tespit etse de, herhangi bir kullanıcının daha önce istismardan etkilenip etkilenmediğini bilip bilmediği, yani esasen 1,5 milyar insanın tamamı son derece popüler olanı kim indirdi ve kazançlı Google Play Store’daki bir uygulama duyarlı olabilirdi.
G/O Media komisyon alabilir
Bunun yerine, bir e-posta bildirisinde, bir TikTok sözcüsü Microsoft araştırmacılarının blog gönderisinde ifade edilen noktaları yineledi ve şunları ekledi: “Microsoft’taki güvenlik araştırmacılarıyla ortaklığımız sayesinde, Android uygulamasının bazı eski sürümlerinde bir güvenlik açığı keşfettik ve hızla düzelttik. Microsoft araştırmacılarına, onları çözebilmemiz için olası sorunları belirlemeye yardımcı olma çabaları için teşekkür ederiz.”
Şirket ayrıca şunları da işaret etti: ödül sayfasından yararlan Kullanıcılara zarar verme şansları olmadan açıkları denemek ve ortadan kaldırmak için HackerOne ile birlikte çalışır. Araştırmacılar, TikTok güvenlik ekibine “bu sorunları çözmede hızlı ve verimli bir şekilde işbirliği yaptıkları için” teşekkür ettiler.
Peki tüm bunlar nasıl çalıştı? Esasen, araştırmacılar TikTok’un, özellikle izin verilenler olmak üzere, kimliği doğrulanmış HTTP isteklerini gerçekleştirme biçiminde bir güvenlik açığı olduğunu buldu. mobil derin bağlantı sağlayan işlevsellik aslında uygulamanın kendisine girmeden uygulamanın farklı bölümlerine erişim. Hiç bir e-postadan veya başka bir platformdan bir Twitter gönderisine eriştiniz mi? Bu aslında derin bir bağlantı.
Bu kodda gezinirken, araştırmacılar derin bağlantı doğrulamasını atlayabilir ve bir kullanıcı, kontrol edilen bir sunucudaki özel bir kötü amaçlı bağlantıya tıkladığında, bir kullanıcının kimlik doğrulama belirtecine erişebilir. günlük çerezleri. Aynı sunucu daha sonra, hesapta herhangi bir sayıda değişiklik yapabilen JavaScript kodu içeren bir HTML sayfası döndürebilir.
Araştırmacılar, güvenli olmayan JavaScript arayüzlerinin ortaya çıkardığı tehlikeye özel bir vurgu yaparak, “geliştirici topluluğunun risklerin farkında olmasını ve WebView’ü güvenli hale getirmek için ekstra önlemler almasını öneriyoruz” diye ekledi. Son zamanlarda, ayrı bir güvenlik araştırmacısı keşfedilen JavaScript Uygulama içi tarayıcıdayken tüm kullanıcı girişlerini potansiyel olarak kaydedebilen TikTok’ta. TikTok, bu komut dosyasını herhangi bir kullanıcısını keylog’lamak için kullandığını ve kodun arka uç hata ayıklama ve sorun giderme amacıyla orada olduğunu açıkça reddetti.