Microsoft scopre grave bug in TikTok per Android

Microsoft scopre grave bug in TikTok per Android

Una grave vulnerabilità scoperta da Microsoft in TikTok per Android (risolta a marzo) poteva essere sfruttata per prendere il controllo dell'account.
Una grave vulnerabilità scoperta da Microsoft in TikTok per Android (risolta a marzo) poteva essere sfruttata per prendere il controllo dell'account.

Un ex ingegnere di Google aveva scoperto che l’app per iOS traccia le attività degli utenti con il browser interno. Ora Microsoft rivela di aver trovato una grave vulnerabilità in TikTok per Android. Un malintenzionato poteva prendere il controllo dell’account ed eseguire varie azioni per conto dell’ignaro utente. Il bug è stato segnalato a febbraio e risolto dall’azienda cinese a marzo.

Accesso all’account con un clic

La vulnerabilità, indicata con CVE-2022-28799, era presente sia nell’app distribuita in Asia che in quella disponibile in Occidente, scaricate complessivamente oltre 1,5 miliardi di volte dal Google Play Store. Il problema risiedeva nella gestione di un particolare deeplink, ovvero il collegamento ad uno specifico componente dell’app. Quando l’utente clicca sul link, Android chiede all’utente di scegliere l’app da utilizzare (sempre o solo una volta).

TikTok per Android apre automaticamente tutti i link con dominio m.tiktok.com. Un malintenzionato poteva sfruttare la vulnerabilità per convincere l’utente a cliccare su un particolare link e caricare una pagina web nell’app tramite WebView, aggirando la verifica del deeplink. Il codice JavaScript nascosto della pagina permetteva di accedere ai dati personali e ai video privati.

In pratica la vulnerabilità consentiva di prendere il controllo dell’account. Microsoft ha segnalato il problema a febbraio. TikTok ha rilasciato la patch con la versione 23.7.3 di marzo. Gli utenti non dovrebbero cliccare su link sospetti. In ogni caso è preferibile aprire le pagine web con il browser esterno, non con quello in-app.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 31 ago 2022
Link copiato negli appunti