Secondo Microsoft, una vulnerabilità di elevata gravità nell’app TikTok per Android potrebbe aver consentito il dirottamento degli account ‘con un solo clic’. La società ha affermato in uno studio pubblicato sul blog Microsoft Security che si sarebbe potuto abusare di una catena di falle per creare uno scenario in cui un account potrebbe essere compromesso con una singola pressione di un collegamento appositamente predisposto.
‘Gli aggressori potrebbero quindi aver avuto accesso e modificato gli account TikTok e le informazioni sensibili degli utenti, ad esempio trasmettendo video privati, inviando messaggi e pubblicando video per conto degli utenti’, ha aggiunto Microsoft. Si dice che il difetto fosse presente in tutte le versioni del client TikTok Android, che sono state scaricate più di 1,5 miliardi di volte.
Il problema derivava dall’implementazione dell’app delle interfacce JavaScript, ampiamente utilizzate su TikTok per Android. Lo studio approfondisce i dettagli tecnici, ma in sostanza, Microsoft è stata in grado di dimostrare una compromissione dell’account attaccando la gestione delle API JavaScript
da parte dell’app insieme al modo in cui Android instrada gli URL.Fortunatamente, i ricercatori non hanno trovato alcuna indicazione dello sfruttamento della vulnerabilità in natura e il problema è stato corretto rapidamente dopo la pubblicazione a febbraio. Secondo Microsoft, il team di sicurezza di TikTok dovrebbe essere applaudito per la sua risposta rapida ed efficiente.
‘Questo scenario dimostra come sia necessaria una collaborazione professionale e intersettoriale per ridurre al minimo i problemi’, ha affermato Dimitrios Valsamaras del Microsoft 365 Defender Research Team.
‘Con l’aumento della quantità e della sofisticatezza delle minacce su tutte le piattaforme, sono necessarie divulgazioni di vulnerabilità, risposte coordinate e altri tipi di condivisione di informazioni sulle minacce per aiutare a salvaguardare le esperienze informatiche dei consumatori, indipendentemente dalla piattaforma o dal dispositivo in uso’.
Sebbene la correzione abbia già raggiunto la stragrande maggioranza degli utenti di TikTok, gli utenti interessati possono garantire la propria sicurezza aggiornando la propria app alla versione più recente.