Microsoft, Şubat ayında Tiktok Android uygulamasında, saldırganların özel olarak hazırlanmış bir kötü amaçlı bağlantıyı tıklamak için hedefleri kandırarak tek bir tıklamayla "hızlı ve sessizce" hesapları devralmasına izin veren yüksek bir şiddet kusuru buldu ve bildirdi.
Microsoft 365 Defender araştırma ekibinin Dimitrios ValSamaras, "Saldırganlar, hedeflenen bir kullanıcı özel olarak hazırlanmış bir bağlantıyı tıklatırsa, kullanıcıların farkındalığı olmadan bir hesabı kaçırmak için güvenlik açığından yararlanabilir." Dedi.
"Saldırganlar daha sonra kullanıcıların tiktok profillerine ve özel videoları yayınlayarak, mesaj göndermek ve kullanıcılar adına video yükleyerek hassas bilgilere erişebilir ve değiştirebilirdi."
Bağlantıyı tıklamak, Tiktok uygulamasının WebView'ı (Web içeriğini görüntülemek için kullanılan bir Android sistemi bileşeni) ele geçirmek için tasarlanmış bir istismar yardımıyla bir saldırgan tarafından istismar edilebilecek 70'den fazla JavaScript yöntemini ortaya çıkardı.
Maruz kalan yöntemleri kullanarak, tehdit aktörleri Tiktok kullanıcılarının özel bilgilerini erişebilir veya değiştirebilir veya doğrulanmış HTTP isteklerini gerçekleştirebilir.
Kısacası, bu güvenlik açığını başarıyla kullanmayı başaracak saldırganlar kolayca kolayca olabilir:
Hackerone raporu daha fazla, "Tiktok Android uygulamasında, kanalize edilmemiş bir parametrede doğrulanmamış bir derin bağlantı yoluyla bir WebView kaçırma güvenlik açığı bulundu. Bu, bir JavaScript arayüzü üzerinden kaçırma hesabına neden olabilir."
CVE-2022-28799 olarak izlenen güvenlik açığı, Microsoft'un ilk açıklamasından bir aydan kısa bir süre sonra yayınlanan Tiktok sürüm 23.7.3'ün yayınlanmasından bu yana yamalı.
Microsoft, CVE-2022-28799'un vahşi doğada kullanıldığına dair kanıt bulamadığını söyledi.
Tiktok kullanıcıları, güvenilmeyen kaynaklardan bağlantıları tıklayarak, uygulamalarını güncel tutarak, yalnızca resmi kaynaklardan uygulamaları yükleyerek ve mümkün olan en kısa sürede herhangi bir garip uygulama davranışını raporlayarak benzer sorunlara karşı savunabilir.
Bu güvenlik açığının hesap devralma saldırılarında nasıl kullanılabileceği hakkında ek bilgi Microsoft'un raporunda bulunabilir.
Kasım 2020'de Tiktok, tehdit aktörlerinin üçüncü taraf uygulamalar aracılığıyla kaydolan kullanıcıların hesaplarını hızlı bir şekilde ele geçirmesini sağlayan güvenlik açıklarını düzeltti.
Şirket ayrıca, saldırganların kullanıcıların kişisel bilgilerini çalmasına veya videoları manipüle etmek için hesaplarını kaçırmasına izin verebilecek diğer güvenlik kusurlarını da ele aldı.
Google Play Store girişine göre, Tiktok'un Android uygulaması 1 milyardan fazla yükleme var. Sensör Tower Store istihbarat tahminlerine dayanarak, mobil uygulama Nisan 2020'den bu yana tüm platformlarda 2 milyar yükleme işaretini geçti.
Microsoft, düzinelerce Azure Site Kurtarma ayrıcalığını düzeltiyor.
Microsoft, önümüzdeki ay çevrimiçi temel kimliği değiştirmeyi devre dışı bırakacak
Google Play'de bulunan 2 milyon yüklemeli Android kötü amaçlı yazılım uygulamaları
Bilgisayar korsanları, kobalt grev alternatifi olarak Sliver araç setini benimser
Windows 11 KB5016691 Önizleme Güncellemesi 22 değişiklik ile yayınlandı
Kaynak: Bleeping Computer