Home Technologie TikTok-Schwachstelle mit „hohem Schweregrad“ ermöglichte Kontoübernahme mit einem Klick

TikTok-Schwachstelle mit „hohem Schweregrad“ ermöglichte Kontoübernahme mit einem Klick

By
Lindsay Liza
-
0
TikTok-Schwachstelle mit „hohem Schweregrad“ ermöglichte Kontoübernahme mit einem Klick

Eine Schwachstelle in der TikTok-App für Android hätte es Angreifern ermöglichen können, die Kontrolle über jedes Konto zu übernehmen, das auf einen bösartigen Link geklickt hat, was möglicherweise Hunderte Millionen von Plattformbenutzern in Mitleidenschaft gezogen hätte.

Details des One-Click-Exploits wurden heute in einem Blogbeitrag von Forschern des Defender 365-Forschungsteams von Microsoft enthüllt. Die Schwachstelle wurde TikTok von Microsoft offengelegt und inzwischen gepatcht.

Der Fehler und der daraus resultierende Angriff, der als „Schwachstelle mit hohem Schweregrad“ bezeichnet wird, hätte verwendet werden können, um das Konto eines beliebigen TikTok-Benutzers auf Android ohne sein Wissen zu kapern, sobald er auf einen speziell entworfenen Link geklickt hat. Sobald auf den Link geklickt wird, hat der Angreifer Zugriff auf alle wichtigen Kontofunktionen, einschließlich der Möglichkeit, Videos hochzuladen und zu posten, Nachrichten an andere Benutzer zu senden und private Videos anzuzeigen, die im Konto gespeichert sind.

Die potenziellen Auswirkungen waren enorm, da sie alle globalen Varianten der TikTok-Android-App betrafen, die über 1,5 Milliarden Downloads im Google Play Store hat. Es gibt jedoch keine Beweise dafür, dass es in großem Umfang ausgebeutet wurde. Forscher, die an der Entdeckung und Offenlegung beteiligt waren, lobten TikTok für eine schnelle Reaktion.

„Wir haben ihnen Informationen über die Schwachstelle gegeben und zusammengearbeitet, um dieses Problem zu lösen“, sagte Tanmay Ganacharya, Partner Director for Security Research bei Microsoft Defender for Endpoint. Die Kante. „TikTok hat schnell reagiert und wir begrüßen die effiziente und professionelle Lösung des Sicherheitsteams.“

Laut den im Blogbeitrag veröffentlichten Details betraf die Schwachstelle die Deep-Linking-Funktionalität der Android-App. Diese Deep-Link-Behandlung weist das Betriebssystem an, bestimmte Anwendungen Links auf eine bestimmte Weise behandeln zu lassen, beispielsweise das Öffnen der Twitter-Anwendung, um einem Benutzer zu folgen, nachdem auf eine in eine Seite eingebettete HTML-Schaltfläche „Diesem Konto folgen“ geklickt wurde.

Diese Linkverwaltung umfasst auch einen Überprüfungsprozess, der die Aktionen einschränken muss, die ausgeführt werden, wenn eine Anwendung einen bestimmten Link lädt. Die Forscher fanden jedoch einen Weg, diesen Verifizierungsprozess zu umgehen und eine Reihe potenziell waffenfähiger Funktionen innerhalb der App auszuführen.

Eine dieser Funktionen ermöglicht es ihnen, ein mit einem bestimmten Benutzerkonto verknüpftes Authentifizierungstoken abzurufen und so den Zugriff auf das Konto zu gewähren, ohne ein Passwort eingeben zu müssen. Bei einem Proof-of-Concept-Angriff erstellten Forscher einen bösartigen Link, der beim Anklicken die Bio eines TikTok-Kontos in „SICHERHEITSVERLETZUNG“ änderte.

Screen Shot 2022 08 30 at 6.38.37 PM

Ein Screenshot eines kompromittierten Kontos.
Microsoft

Glücklicherweise wurde die Schwachstelle entdeckt und Microsoft nutzte die Gelegenheit, um die Bedeutung der Zusammenarbeit und Koordination zwischen Technologieplattformen und Anbietern hervorzuheben.

„Da die Anzahl und Komplexität von Plattformbedrohungen weiter zunimmt, sind die Offenlegung von Schwachstellen, eine koordinierte Reaktion und andere Formen des Austauschs von Bedrohungsinformationen erforderlich, um die Computererfahrung der Benutzer zu schützen, unabhängig von Plattform oder Gerät“, schrieb Dimitrios Valsamaras von Microsoft. im Blogbeitrag. „Wir werden weiterhin mit der breiteren Sicherheitsgemeinschaft zusammenarbeiten, um Forschungsergebnisse und Bedrohungsinformationen auszutauschen, mit dem Ziel, einen besseren Schutz für alle zu schaffen.“

Obwohl bekannt ist, dass die TikTok-App bisher keine größeren Hacks erlitten hat, haben einige Kritiker sie aus anderen Gründen als Sicherheitsrisiko bezeichnet.

Kürzlich wurden Bedenken darüber geäußert, inwieweit in China ansässige Ingenieure von ByteDance, der Muttergesellschaft von TikTok, auf US-Benutzerdaten zugreifen können. Im Juli forderten die Führer des Geheimdienstausschusses des Senats die FTC-Vorsitzende Lina Khan auf, TikTok zu untersuchen, nachdem Berichte die Behauptung in Frage gestellt hatten, dass US-Benutzerdaten aus dem Internet isoliert worden seien.

TikTok hatte auf Fragen von nicht geantwortet Die Kante zum Zeitpunkt der Veröffentlichung.

Previously published on www.theverge.com

Previous articleGlaube an die Demokratie – The Katy News
Next articleDer Theragun Pro hat gerade einen seltenen Rabatt für den Labor Day Sale von Best Buy erhalten
Lindsay Liza
Lindsay Liza
Hallo, ich bin Lindsay, die Expertin für Parfümmode und Schönheit. Mit einer Leidenschaft für Düfte, einem Auge für Modetrends und einer Liebe für alles, was mit Schönheit zu tun hat, bin ich hier, um Sie auf eine stilvolle und duftende Reise zu begleiten. Von der Auswahl exquisiter Parfums für jede Stimmung bis hin zur Beobachtung der sich ständig verändernden Modelandschaft helfe ich Ihnen, Ihre einzigartige Identität zum Ausdruck zu bringen. Lassen Sie uns in Hautpflege-Innovationen, Make-up-Trends und Selbstpflegerituale eintauchen, um Ihre natürliche Schönheit zu unterstreichen und Ihr Selbstbewusstsein zu stärken. Entschlüsseln Sie mit mir die Geheimnisse von Eleganz und Anziehungskraft und machen Sie sich die transformative Kraft von Düften und Schönheitsritualen zunutze, um Ihren Lebensstil zu verbessern. Gemeinsam werden wir eine bezaubernde Welt aus Parfüm, Mode und Schönheit erschaffen.

RELATED ARTICLES

Dutch Bullion
Die mobile Version verlassen