Tehnoloģiju kompānija “Microsoft” atklājusi nozīmīgu ievainojamību “TikTok” lietotnei, kas darbojas “Android” platformā. Ievainojamība ļāvusi uzbrucējiem sūtīt vēstules, piekļūt un augšupielādēt video, pašiem lietotājiem par to nemaz nezinot, vēsta “Cybernews”.
Atklāta nozīmīga ievainojamība "TikTok" lietotnei "Android" ierīcēm
“TikTok” lietotne “Android” platformā ir viena no populārākajām lietotnēm, jo “Google Play” lietotņu veikalā tā lejupielādēta vairāk nekā 1,5 miljardus reižu. Turklāt - “TikTok” lietotnei ir divas versijas – viena ir paredzēta Austrum- un Dienvidaustrumāzijai, otra – pārējai pasaulei.
Pētnieki noskaidrojuši, ka ievainojamība skārusi lietotnes abas reģionālās versijas.
Lai ļaunprātīgi izmantotu ievainojamību (CVE-2022-28799), ir nepieciešams, lai sakrīt vairākas nianses. Kritiskais punkts ir kaitnieciskas adreses atvēršana, kas pēc tam ļauj piekļūt personas datiem.
“Uzbrucēji varētu būt piekļuvuši “TikTok” lietotāju profiliem un sensitīvai informācijai, piemēram, privātiem video, kas glabājas telefonā. Tāpat šie video varētu tikt publicēti vai nosūtīti privātās vēstulēs, pašam lietotājam par to nemaz nezinot,” teikts “Microsoft” paziņojumā.
Šī ievainojamība ir ļāvusi apiet “TikTok” pārbaudes sistēmu, un uzbrucēji var likt lietotnei izmantot “WebView” – “Android” komponenti, kas tiek lietota tīmekļa satura attēlošanai.
Izmantojot “WebView”, uzbrucēji var izmantot dažādas metodes, kā apiet “JavaScript” kodus un funkcionalitāti, lai izpildītu dažādas kaitnieciskas darbības, piemēram, iegūt profila piekļuves informāciju un modificēt “TikTok” profila datus.
“Microsoft” komandas veiktā izmeklēšana ļāvusi atklāt vismaz 70 metodes, kā izmantot “JavaScript” kodus “WebView” platformā. Tieši šie kodi ļauj ļaundariem pārņemt kontroli pār “TikTok” lietotni un to izmantot savā labā.
Iepriekš par nepilnībām “TikTok” lietotnē tika ziņots februārī, un toreiz problēmas tika novērstas. Pagājušā gada septembrī “TikTok” lietotnei tika konstatēta ievainojamība, kas ļāva piekļūt lietotāja telefonā saglabātajiem tālruņu numuriem un citai kontaktinformācijai, ko vēlāk izmantot kaitnieciskām darbībām.