Взлом пользовательских TikTok был возможен благодаря наличию в версии для Андроид бага

Серьезная уязвимость обнаружена компанией Microsoft в версии Андроид TikTok. Специалисты считают, что ее использование дает возможность киберпреступникам контролировать пользовательские аккаунты. Чтобы получить доступ, им нужно просто спровоцировать переход человека по ссылке с вирусом.

Эксперт компании Д. Валсамарас говорит, что атаковать аккаунт можно так, что человек и не заметит. Для успешной атаки хакеру потребуется всего лишь соответствующая ссылка. Он пояснил, что, контролируя учетку, киберспреступники способны получить доступ к любым конфиденциальным данным.

Брешь находится в Android WebView. Этот компонент дает возможность видеть контент в приложении. Кстати, не так давно TikTok раскритиковали в связи с кодом, позволяющим отслеживать кредитные карты и пароли.

Злоумышленник, эксплуатируя уязвимость и спецметоды JavaScript, имеет возможность взломать профили в соцсетях и выполнить запросы HTTP.

Но и это еще не все. Он увидит токены, информацию, которая есть в аккаунте, настройки, видео. О данной дыре говорилось и на платформе HackerOne.

Проблема была устранена в версии приложения 23.7.3. Согласно информации компании, на сегодняшний день киберпреступники еще не делали попыток задействовать в атаках описанную уязвимость.