È stata scoperta una vulnerabilità nell’app TikTok per Android che consente agli aggressori di ottenere l’accesso inosservato agli account.

Microsoft ha rivelato oggi una vulnerabilità nell’app TikTok per Android che ha consentito agli aggressori di accedere agli account utente con un solo clic. Ciò segue il recente chiarimento di TikTok su una presunta violazione dei dati negli Stati Uniti.

La specificità dell’exploit richiedeva che più problemi fossero concatenati per funzionare e il problema era già stato risolto senza alcun segno di sfruttamento in natura. Gli aggressori potrebbero utilizzarlo all’insaputa degli utenti se fosse utilizzato.

La vulnerabilità stessa ha consentito agli aggressori di aggirare i controlli dei collegamenti diretti di un’applicazione costringendola a caricare un URL arbitrario nella visualizzazione Web dell’applicazione, consentendole di accedere ai bridge JavaScript collegati ed esporre le funzionalità.

Esistono due diverse varianti dell’app TikTok, una per l’Asia orientale e sudorientale e una per il resto del mondo. Entrambi sono stati interessati da questo exploit e Microsoft ha notificato a TikTok questo problema nel febbraio 2022.

TikTok ha rilasciato un aggiornamento per l’app a marzo 2022, collaborando con Microsoft per chiudere rapidamente la scappatoia. Fortunatamente, l’attacco non è stato sfruttato attivamente in quanto poteva essere utilizzato per pubblicare video e altri contenuti sulla piattaforma senza essere rilevato. Microsoft ha ribadito che JavaScript dovrebbe essere evitato quando possibile, poiché può prevenire rischi significativi.