TikTok, grave vulnerabilità su Android permette di prendere controllo dell'account con un click

TikTok, grave vulnerabilità su Android permette di prendere controllo dell'account con un click

La falla è stata scoperta dai ricercatori di sicurezza Microsoft: segnalata a TikTok lo scorso febbraio, è stata prontamente corretta. Ma l'impatto è stato potenzialmente molto grave

di pubblicata il , alle 08:28 nel canale Sicurezza
TikTok
 

Nella versione Android della popolare app di vlogging TikTok è stata individuata una grave vulnerabilità che avrebbe potuto consentire ad un aggressore di prendere il totale controllo su qualsiasi account semplicemente se l'utente avesse cliccato su un collegamento dannoso senza compiere ulteriori altre azioni.

La vulnerabilità avrebbe permesso di colpire di fatto tutti gli utenti della piattaforma. Si tratta però di una falla scoperta dai ricercatori di sicurezza Microsoft che ne hanno condiviso i dettagli nelle scorse ore, dopo aver avvertito TikTok lo scorso mese di febbraio. La società cinese ha prontamente risposto alle segnalazioni di Microsoft provvedendo a correggere rapidamente il problema. 

La vulnerabilità, tracciata con il codice CVE-2022-28799, riguardava il modo in cui l'app andava a verificare i cosiddetti deeplink, collegamenti ipertestuali specifici di Android che sono ad esempio usati per elaborare gli URL in una maniera specifica. Tramite i deeplink su Android è possibile dare mandato al browser di aprire un URL in un'app specifica. 

La gestione dei deeplink include anche un meccanismo di verifica per limitare le azioni che possono essere compiute quando un'app carica un determinato collegamento. La falla sta proprio qui: i ricercatori Microsoft sono riusciti a trovare un modo per aggirare la verifica ed eseguire una serie di funzioni che possono essere utilizzate a scopo potenzialmente dannoso all'interno dell'app TikTok

In particolare una di queste funzioni avrebbe potuto consentire il recupero di un token di autenticazione legato all'account utente, permettendo così di accedervi senza la necessità di inserire una password. I ricercatori hanno elaborato un attacco proof-of-concept creando un collegamento che una volta cliccato ha modificato la biografia di un account TikTok in "SECURITY BREACH". Ma se sfruttata "in the wild", come si dice in questi casi, la vulnerabilità avrebbe potuto consentire di accedere a tutte le funzioni principali dell'account, come ad esempio la possibilità di caricare e pubblicare video, inviare messaggi e visualizzare i video archiviati. 

Si è trattato di una vulnerabilità con un impatto potenziale enorme poiché ha riguardato tutte le versioni dell'app TikTok per Android, scaricata oltre 1,5 miliardi di volte dal Google Play Store. Tuttavia al momento non vi sono prove che la falla sia stata effettivamente sfruttata da malintenzionati. La vulnerabilità riguarda le versioni di TikTok per Android precedenti alla 23.7.3: chi dovesse ancora avere questa versione è opportuno che aggiorni immediatamente l'app.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
najmarte01 Settembre 2022, 17:18 #1
beh.. magari era una feature.. sai, metti che ai cinesi venisse voglia di pubblicare qualcosa per conto tuo. Ti mandano il link: "clicca qui e ci prendiamo cura di tutto noi, fidati" e via.

Ah no aspetta, non serve il link a loro.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^