Microsoft, Şubat ayında TikTok Android uygulamasında, saldırganların özel olarak hazırlanmış bir kötü amaçlı bağlantıya tıklamaları için kandırarak tek tıklamayla hesapları “hızlı ve sessizce” ele geçirmesine olanak tanıyan yüksek önemde bir kusur buldu ve bildirdi.
Microsoft 365 Defender Araştırma Ekibi’nden Dimitrios Valsamaras, “Saldırganlar, hedeflenen bir kullanıcı özel olarak hazırlanmış bir bağlantıyı tıkladığında, kullanıcıların farkında olmadan bir hesabı ele geçirmek için güvenlik açığından yararlanabilirdi.” Dedi.
“Saldırganlar daha sonra kullanıcıların TikTok profillerine ve hassas bilgilerine, örneğin özel videoları yayınlayarak, mesaj göndererek ve kullanıcılar adına video yükleyerek erişmiş ve değiştirmiş olabilir.”
Bağlantıya tıklamak, TikTok uygulamasının Web Görünümünü (güvenlik açığı bulunan uygulama tarafından web içeriğini görüntülemek için kullanılan bir Android sistem bileşeni) ele geçirmek için tasarlanmış bir istismarın yardımıyla bir saldırgan tarafından kötüye kullanılabilecek 70’den fazla JavaScript yöntemini ortaya çıkardı.
Tehdit aktörleri, açığa çıkan yöntemleri kullanarak TikTok kullanıcılarının özel bilgilerine erişebilir veya bunları değiştirebilir veya kimliği doğrulanmış HTTP istekleri gerçekleştirebilir.
Kısacası, bu güvenlik açığından başarıyla yararlanmayı başaran saldırganlar şunları kolayca yapabilirdi:
- kullanıcıların kimlik doğrulama belirteçlerini aldı (kontrolleri altındaki bir sunucuya bir istek tetikleyerek ve tanımlama bilgisi ile istek başlıklarını günlüğe kaydederek)
- özel videolar ve profil ayarları dahil olmak üzere kullanıcıların TikTok hesap verilerini aldı veya değiştirdi (bir TikTok uç noktasına bir istek tetikleyerek ve JavaScript geri arama yoluyla yanıtı alarak)
HackerOne raporu, “TikTok Android uygulamasında, sterilize edilmemiş bir parametrede doğrulanmamış bir derin bağlantı aracılığıyla bir WebView Hijacking güvenlik açığı bulundu. Bu, bir JavaScript arayüzü aracılığıyla hesabın ele geçirilmesiyle sonuçlanabilirdi” daha fazla açıklıyor.
Artık yama uygulandı, saldırılarda istismar edilmiyor
Güvenlik açığı olarak izlenen CVE-2022-28799Microsoft’un ilk açıklamasından bir aydan kısa bir süre sonra yayınlanan TikTok 23.7.3 sürümünün yayınlanmasından bu yana yamalandı.
Microsoft, CVE-2022-28799’un vahşi doğada istismar edildiğine dair henüz bir kanıt bulamadığını söylüyor.
TikTok kullanıcıları, güvenilmeyen kaynaklardan gelen bağlantılara tıklamayarak, uygulamalarını güncel tutarak, yalnızca resmi kaynaklardan uygulama yükleyerek ve herhangi bir garip uygulama davranışını mümkün olan en kısa sürede bildirerek benzer sorunlara karşı savunma yapabilirler.
Bu güvenlik açığının hesap devralma saldırılarında nasıl kullanılmış olabileceğine ilişkin ek bilgiler şurada bulunabilir: Microsoft’un raporu.
Kasım 2020’de TikTok sabit güvenlik açıkları bu, tehdit aktörlerinin üçüncü taraf uygulamalar aracılığıyla kaydolan kullanıcıların hesaplarını hızla ele geçirmesini sağladı.
Şirket ayrıca saldırganlara izin verebilecek diğer güvenlik kusurlarını da ele aldı. kullanıcıların kişisel bilgilerini çalmak için veya videoları manipüle etmek için hesaplarını ele geçirmek.
Google Play Store girişine göre, TikTok’un Android uygulaması, 1 milyardan fazla yükleme. Sensor Tower Store Intelligence tahminlerine göre, mobil uygulama zaten 2 milyar yükleme sınırını aştı Nisan 2020’den beri tüm platformlarda.