Cztery poważne luki w TikToku. Użytkownicy powinni koniecznie zaktualizować aplikację
Zespół ekspertów ds. cyberbezpieczeństwa z Ovsersecured wykrył cztery poważne luki w aplikacji TikTok na Androida. Mogły pozwolić atakującemu na dostęp do prywatnych zdjęć, filmów, a także na podsłuchiwanie i nagrywanie ofiary. Luki zostały już załatane.
Microsoft nie przejmie TikToka, ale nadal zakup tzw. "amerykańskich operacji" rozważa firma Orcale. Na tyle odważnie, że wspólnie z instytucjami rządowymi USA, zleca się przeglądy bezpieczeństwa aplikacji. Obawy o szpiegostwo na rzecz chińskiego rządu są na tyle poważne, że zmobilizowano kilka zespołów analizujących potencjalne zagrożenia TikToka. I już widać efekty.
Badacze ujawnili aż cztery poważne luki w typu zero day w aplikacji TikTok na Androida. Nie wiadomo, czy zostały wykorzystane przez cyberprzestępców, ale pozwalały na całkowite przejmowanie kontroli nad kontem każdego użytkownika. Firma ByteDance ujawniła te informacje w piątek, po tym, jak udostępniono wersję 17.4.4 aplikacji, w której załatano niebezpieczne luki.
Wykorzystanie jednej z luk mogło dać atakującemu znacznie większe możliwości. Mógł uzyskać dostęp do uprawnień aplikacji, czyli do zdjęć i filmów zawartych w pamięci urządzenia, pobierania plików przez przeglądarkę, nagrywania dźwięku i obrazu a także do kontaktów ofiary.
Luki w TikToku - ofiara musiałaby najpierw pobrać teoretycznie niegroźną aplikację
Luki wykryte przez badaczy pozwalały innym aplikacjom na wykonywanie dowolnego kodu TikToku. Uzyskanie dostępu było możliwe, poprzez nieprawidłowe zabezpieczenie w sposobie ładowania plików do programu. Wszystkie cztery dotyczyły różnych komponentów zawartych w pliku AndroidManifest.xml: DetailActivity, NotificationBroadcastReceiver, oraz IndependentProcessDownloadService AIDL (Android Interface Definition Language).
Aby wykorzystać daną lukę, atakujący musiałby zmusić ofiarę do zainstalowania opracowanej przez niego aplikacji, niekoniecznie uznawanej przez antywirusy za złośliwą. Mogło to być cokolwiek, co przekonałoby użytkownika TikToka. Zapewne inna aplikacja do łatwej edycji wideo byłaby idealną przynętą. Po jej zainstalowaniu, aplikacja utworzyłaby plik biblioteki w prywatnym katalogu TikToka, który następnie pozwoliłby wykorzystać wszystkie cztery luki.
To tez nie pierwszy przypadek, kiedy wykryto luki w TikToku. Na początku tego roku ujawniono błąd, który pozwalał na przejmowanie kont użytkowników. W sierpniu przedstawiono także raport, który wskazywał na wykorzystywanie luki systemowej przez TikTok.
Aplikację TikTok na Androida oraz iOS można znaleźć w naszym katalogu oprogramowania.