Android’de bulunan TikTok uygulamasının ciddi bir güvenlik sorunu olduğu ortaya çıktı. Bu sorunu bildiren ise Microsoft’tu. Şirket kısa süre önce siber güvenlik topluluğu için bulguları ayrıntılı olarak açıkladı.
Yüksek önemdeki güvenlik açığının saldırganların tek bir tıklamayla hesapların güvenliğini aşmasına izin verebileceğini belirtti. TikTok ayrıca Microsoft tarafından sorundan haberdar edildi. Bu bildirim sonrasında şirket, uygulamaya hızlı bir şekilde güvenlik güncellemesi ekledi.
Microsoft TikTok Uygulamasındaki Güvenlik Açığının Kullanıcıları Etkilediğini Açıkladı
Bu özel güvenlik açığı, Android 23.7.3 ve daha düşük sürümlerde TikTok’u etkiledi. Microsoft’a göre, istismar için birkaç sorunun birlikte zincirlenmesini gerektirdi ve vahşi ortamda kullanılmadı. Bu, kimsenin bundan etkilenmeyeceği anlamına geliyor.
Aslında TikTok’un Android’de biri Doğu ve Güneydoğu Asya için, diğeri dünyanın geri kalanı için olmak üzere iki sürümü var. Microsoft bir güvenlik açığı değerlendirmesi yaptı. Her ikisinin de etkilendiğini tespit etti. Bu, güvenlik açığının toplam 1,5 milyar yüklemeye ulaştığı anlamına geliyor.
Ancak güvenlik açığı ile bilgisayar korsanları, kullanıcının tek bir bağlantıya tıklayıp tıklamadığını bilmeden Android tabanlı bir TikTok hesabını ele geçirebilirdi. Saldırgan, güvenliği ihlal edilmiş TikTok profiline erişerek özel videoları görmelerine, mesaj göndermelerine veya video yüklemelerine izin vermiş olabilir.
Güvenlik Açığını Bir Saldırgan Nasıl Kullanıyor?
Peki, bu güvenlik açığının bir saldırgan tarafından nasıl kullanılmış olabileceğine dair ayrıntılar nelerdir? Microsoft’a göre, TikTok Android uygulaması, uygulamanın derin bağlantı doğrulamasının atlanmasına izin verdi. Saldırgan, uygulamayı, uygulamanın Web Görünümüne bir URL yüklemeye zorlamış olabilir. Bu, o URL’deki sayfanın, bir bilgisayar korsanına daha fazla işlevsellik ve bir kullanıcının bilgilerine hızlı bir şekilde erişmesi için 70 yol sağlamak için WebView’ün JavaScript köprülerine erişmesine izin verir.
Saldırgan, kontrollü bir sunucuya bir istek tetikleyerek ve tanımlama bilgisi ile istek başlıklarını günlüğe kaydederek, kullanıcının kimlik doğrulama belirteçlerini de almış olabilir.
Microsoft geçmişte bu JavaScript köprüleri sorunu hakkında yazmıştı. Bu TikTok güvenlik açığıyla ilgili daha fazla ayrıntı için bir CVE girişi mevcut. Şirket, sorunu Şubat 2022’de Microsoft Güvenlik Açığı Araştırması (MSVR) aracılığıyla Koordineli Güvenlik Açığı Açıklaması (CVD) aracılığıyla bildirdi.
Açıklamadan bir ay sonra TikTok tarafından yamalandı. Microsoft, bu durumun teknoloji endüstrisinde araştırma ve tehdit istihbaratını koordine etmenin ne kadar önemli olduğunu gösteren bir durum olduğunu düşünüyor.