De Android-applicatie van TikTok werd geplaagd door een ernstige kwetsbaarheid. Voor hackers en andere kwaadwillenden was het hierdoor mogelijk om de controle van een account over te nemen, zonder dat de eigenaar zich daarvan bewust was. Het probleem, dat ook wel CVE-2022-28799 wordt genoemd, is inmiddels verholpen.
Dat schrijft Microsoft in een securityblog (1).
Het Amerikaanse hard- en softwarebedrijf benadrukt dat ByteDance, het moederbedrijf van TikTok, twee applicaties van het Chinese sociale netwerk heeft: een voor Zuidoost-Azië en een voor de rest van de wereld. Beide apps zijn gezamenlijk meer dan 1,5 miljard keer gedownload via de Google Play Store. Het beveiligingsprobleem deed zich in beide versies voor.
Om het lek te misbruiken, moest de dader een reeks van problemen aan elkaar koppelen. Het heeft te maken met de manier waarop de Android-app van TikTok omgaat met deeplinks. Dat zijn links die naar specifieke onderdelen binnen de app verwijzen. Zodra gebruikers op een deeplink drukken, bekijkt de Packagemanager van het besturingssysteem welke applicaties op het toestel met de betreffende link overweg kunnen. Vervolgens stuurt de Packagemanager gebruikers hier naar door.
Door de kwetsbaarheid was het mogelijk om de deeplink-verificatie van de app te omzeilen. Aanvallers konden de app forceren om een onveilige URL naar de WebView van de app te laden en een kwaadaardige JavaScript-code te laten uitvoeren. Zo was het mogelijk om authenticatietokens te stelen, of accountgegevens op te vragen en te wijzigen. Hackers konden onder meer profielen aanpassen, privéberichten versturen of video’s uploaden of verwijderen.
Een beveiligingsonderzoeker van Microsoft bracht TikTok in februari op de hoogte van de kwetsbaarheid in de Android-app. Het platform reageerde snel op de melding en rolde direct een bug fix uit voor het probleem. De kwetsbaarheid is geregistreerd en opgenomen in de database van MITRE onder de noemer CVE-2022-28799. Op een schaal van 1 tot 10 kreeg de kwetsbaarheid een 8,3.
“Wij prijzen de efficiënte en professionele oplossing van het TikTok-beveiligingsteam”, zo schrijft Microsoft. Het technologiebedrijf adviseert iedereen, die dat niet inmiddels heeft gedaan, om direct de nieuwste versie van de Android-app te installeren. Volgens Microsoft zijn er geen signalen dat deze kwetsbaarheid slachtoffers heeft gemaakt.
Afgelopen week wist TikTok ook al het nieuws te halen. Toen bleek dat de iOS-applicatie van het sociale netwerk in staat was om gebruikers online op de voet te volgen. Wie via de app op een URL tikt, wordt via de in-app browser naar de betreffende pagina doorgestuurd. Vervolgens injecteert TikTok bij iedere website een JavaScript-code die alles bijhoudt wat gebruikers online doen. Inclusief wat iemand typt. Het omzeilen van een blokkade van tracking cookies is hierdoor kinderspel. Ook zou het bedrijf in theorie inloggegevens kunnen verzamelen, net als een keylogger.
Een woordvoerder van TikTok reageerde op de ontstane commotie en beweerde dat het verhaal “onjuist en misleidend” was. “In tegenstelling tot wat het rapport [van beveiligingsonderzoeker Felix Krause, red.] beweert, verzamelen we geen toetsaanslagen of tekstinvoer via deze code. Deze wordt uitsluitend gebruikt voor het debuggen, oplossen van problemen en het monitoren van de prestaties”, zo zei hij.
https://www.microsoft.com/security/blog/2022/08/31/vulnerability-in-tiktok-android-app-could-lead-to-one-click-account-hijacking/
