Microsoft salva gli utenti di TikTok dopo aver segnalato una vulnerabilità che porta al "dirottamento dell'account con un clic"

Immagine di Gravatar

Mentre il mondo è impegnato a godersi la mania per l'app TikTok, gli utenti della famosa piattaforma di condivisione video non hanno la minima idea di essere quasi caduti vittime di una vulnerabilità che avrebbe potuto consentire ai malintenzionati di violare i loro account mesi fa. Per fortuna, è stato impedito prima di essere notato da cattivi attori dopo Microsoft lo ha segnalato a TikTok, che lo ha subito risolto.

Microsoft ha individuato la vulnerabilità etichettata "CVE-2022-28799" e l'ha segnalata a TikTok lo scorso febbraio tramite il suo Coordinated Vulnerability Disclosure (CVD) tramite Microsoft Security Vulnerability Research (MSVR). Secondo il gigante della tecnologia, il problema aveva uno stato di gravità elevata con un punteggio di 8.3.

Sebbene non sia stata trovata alcuna prova che CVE-2022-28799 sia stato sfruttato in natura, la vulnerabilità ha messo in pericolo miliardi di account utente TikTok. Nello specifico il problema ha coinvolto gli utenti Android dell'app, che presenta diverse varianti con installazioni combinate di oltre 1.5 miliardi di download sul Google Play Store. In caso di successo, avrebbe potuto consentire ai malintenzionati di accedere a account diversi, pubblicare video e visualizzare quelli privati, leggere i messaggi dell'utente, recuperare i dati dell'account e persino modificare le impostazioni.

screenshot di un account TikTok compromesso
Un esempio di account TikTok compromesso condiviso da Microsoft.

L'attacco può iniziare quando un utente fa clic su un "collegamento dannoso appositamente predisposto". Secondo Microsoft, è diventato possibile quando è stato scoperto che CVE-2022-28799 consentiva il bypass della verifica del deeplink dell'app TikTok. "Gli aggressori potrebbero forzare l'app a caricare un URL arbitrario nella visualizzazione Web dell'app, consentendo all'URL di accedere ai bridge JavaScript allegati alla visualizzazione Web e concedere funzionalità agli aggressori", ha spiegato il team di ricerca di Microsoft 365 Defender nel suo post sul blog.

Con questo, Microsoft ha incoraggiato gli utenti a prevenire scenari simili osservando alcune linee guida di sicurezza, come ignorare i collegamenti da fonti non attendibili, aggiornare regolarmente dispositivi e app, evitare installazioni di app da fonti non attendibili e creare report. Inoltre, l'azienda ha elogiato l'azione rapida eseguita da TikTok sottolineando l'importanza della collaborazione.

"Questo caso mostra come la capacità di coordinare la ricerca e la condivisione di informazioni sulle minacce tramite una collaborazione di esperti intersettoriali sia necessaria per mitigare efficacemente i problemi", ha affermato Microsoft. “Poiché le minacce su tutte le piattaforme continuano a crescere in numero e in termini di sofisticatezza, sono necessarie rivelazioni di vulnerabilità, risposte coordinate e altre forme di condivisione dell'intelligence sulle minacce per proteggere l'esperienza informatica degli utenti, indipendentemente dalla piattaforma o dal dispositivo in uso. Continueremo a lavorare con la più ampia comunità di sicurezza per condividere la ricerca e l'intelligence sulle minacce nel tentativo di creare una migliore protezione per tutti".

Nonostante ciò, i problemi causati dalle vulnerabilità non sono gli unici problemi di sicurezza affrontati dagli utenti di TikTok. ByteDance e TikTok hanno la loro reputazione messa in discussione da molti a causa di segnalazioni di utilizzo da parte del governo cinese per i propri programmi. A parte un rapporto dicendo che i dipendenti di TikTok hanno avuto accesso ripetutamente ai dati degli utenti statunitensi dalla Cina, è emersa una nuova preoccupazione dopo che è stato scoperto che alcuni Profili LinkedIn dei lavoratori di TikTok mostrano che stanno lavorando contemporaneamente per i media statali cinesi.

Articolo originale