كشفت Microsoft عن تفاصيل ثغرة أمنية شديدة الخطورة في تطبيق تيك توك TikTok لنظام Android. يشارك فريق البحث في Microsoft 365 Defender أخبارًا عن الخلل الأمني الذي تم إصلاحه الآن والذي تقول الشركة إنه كان من الممكن أن يسمح للمهاجم بالاستيلاء على حساب الضحية بمجرد حمله على النقر فوق ارتباط ضار.
مع وجود مئات الملايين من المستخدمين حول العالم ، تعد تيك توك TikTok واحدة من أكثر المنصات الاجتماعية شعبية في الوقت الحالي ؛ إن الضرر المحتمل الناجم عن الاستغلال الناجح لمثل هذه الثغرة الأمنية ضخم.
لحسن الحظ ، كما تشير Microsoft ، لا يوجد دليل على استغلال الثغرة الأمنية في البرية. ويرجع الفضل في ذلك جزئيًا إلى حقيقة أنه في حين تم تخصيص تصنيف شديد الخطورة للثغرة الأمنية ، فإن الاستغلال الناجح يتطلب من المهاجم الاستفادة من العديد من مشكلات الأمان على التوالي.
في منشور مدونة حول الاكتشاف ، تقول الشركة:
اكتشفت Microsoft ثغرة أمنية شديدة الخطورة في تطبيق TikTok Android ، والتي كان من الممكن أن تسمح للمهاجمين بخرق حسابات المستخدمين بنقرة واحدة. تم إصلاح الثغرة الأمنية ، التي كانت تتطلب ربط العديد من المشكلات معًا لاستغلالها ، ولم نعثر على أي دليل على الاستغلال في البرية. كان بإمكان المهاجمين الاستفادة من الثغرة الأمنية لاختطاف حساب دون وعي المستخدمين إذا نقر المستخدم المستهدف ببساطة على رابط تم إنشاؤه خصيصًا. يمكن للمهاجمين بعد ذلك الوصول إلى ملفات تعريف المستخدمين TikTok والمعلومات الحساسة وتعديلها ، مثل نشر مقاطع الفيديو الخاصة وإرسال الرسائل وتحميل مقاطع الفيديو نيابة عن المستخدمين.
تشرح Microsoft ما يلي:
سمحت الثغرة الأمنية بتجاوز التحقق من الرابط العميق للتطبيق. يمكن للمهاجمين إجبار التطبيق على تحميل عنوان URL عشوائي إلى WebView للتطبيق ، مما يسمح لعنوان URL بالوصول بعد ذلك إلى جسور JavaScript المرفقة في WebView ومنح الوظائف للمهاجمين.