TikTok z dziurą jak Titanic. Jeden link i tracisz konto
Poważna dziura w zabezpieczeniach aplikacji TikTok pozwalała przejąć cudze konto i to bez uprzedniego infekowania urządzenia użytkownika ani przejmowania danych logowania. Wystarczyło skłonić go, aby kliknął w odpowiednio spreparowany link. Za wykrycie usterki możemy podziękować programistom z Microsoftu.
Cyberprzestępcy stosują setki metod przejmowania cudzych kont na portalach społecznościowych. Czasem pomaga im w tym złośliwe oprogramowanie (do pobrania którego trzeba użytkownika jakoś nakłonić), a czasem uciekają się do phishingu (a wtedy posiadacz konta sam podaje atakującemu dane logowania). W przypadku TikToka, ze względu na dziurę w zabezpieczeniach, korzystanie z takich metod nie było nawet konieczne, a i tak użytkownicy mogli stracić swój profil.
Czytaj też:
Informacje o tym, że TikTok miał potencjalnie bardzo niebezpieczną dziurę w zabezpieczeniach, przekazał Microsoft. Usterka, która otrzymała od firmy z Redmond oznaczenie CVE-2022-28799, została wykryta już w lutym tego roku, a informacje na jej temat przekazano od razu twórcom chińskiej usługi. Ci na szczęście nie zignorowali zagrożenia i naprawili aplikację TikTok na Androida.
Przejęcie konta TikTok - wystarczył jeden link
Chociaż usterkę CVE-2022-28799 już rozwiązano i nie ma dowodów na to, że był aktywnie wykorzystywana, to tej wpadce twórców TikToka na Androida warto się jej przyjrzeć bliżej. Okazuje się, że atakujący nie musiał silić się na phishing ani skłaniać swoich potencjalnych ofiar do tego, żeby zainstalowały malware. Do utraty konta mogło doprowadzić... samo kliknięcie jednego linka, jeśli ten został odpowiednio spreparowany.
Błąd w aplikacji TikTok na Androida, który pozwalał na przejęcie konta, związany był z obsługą tzw. deeplinków. Takie hiperłącza są przechwytywane przez oprogramowanie mobilne w celu otwarcia np. programu TikTok zamiast witryny m.tiktok.com (czasem od razu z konkretnym menu albo innym ekranem aplikacji na wierzchu). Niestety coś poszło tutaj mocno nie tak.
W jaki sposób można było stracić konto na TikToku?
Osoby, które odkryły potencjalny wektor ataku, zwróciły uwagę na to, że atakujący mogli obejść weryfikację deeplinków do TikToka, co miało doprowadzić do wykonania przez odpowiednio przygotowaną w tym celu witrynę internetową dodatkowych operacji. Prowadziło to właśnie do przejęcia danych logowania użytkownika, a Microsoftowi udało się taki atak skutecznie przeprowadzić.
A w jaki dokładnie sposób wyciekają dane konta przy tym ataku? Okazuje się, że aplikacja TikTok umożliwiała osobom postronnym zdobycie tokenów uwierzytelniających. Dzięki temu osoby opracowujące ten typ ataku mogły, między innymi, zmienić informacje wpisane w zakładce Bio w profilu użytkownika oraz dodać w jego imieniu nowe treści.
Tyle dobrego, że TikTok problem już rozwiązał, ale warto pamiętać o tej historii - nigdy nie wiadomo, kiedy podobną lukę cyberprzestępcy odkryją w innej aplikacji i zaczną przejmować konta z powodzeniem. Klikanie linków z niepewnych źródeł, czyli pochodzących np. od kogoś, kto zagadał do nas na komunikatorze i może być botem, nigdy nie jest dobrym pomysłem.
Zdjęcie główne: DANIEL CONSTANTE/Shutterstock
