TikTok, grave falla mette “in mutande” gli utenti Android: basta un click per rubare gli account

E’ stata scoperta una grave falla in TikTok, quella che attualmente è, a mani basse, l’applicazione più scaricata in assoluto al mondo. A far emergere il tutto, come si legge su Hwupgrade.it, sono stati i ricercatori di sicurezza Microsoft, e la falla era venuta alla luce lo scorso mese di febbraio e subito corretta.

Ma di cosa si tratta? Nel dettaglio è stata scoperta una vulnerabilità che avrebbe potuto consentire a qualsiasi aggressore di prendere il controllo totale dell’account, semplicemente dopo che l’utente avrebbe cliccato su un link dannoso, senza fare altro. Una vulnerabilità tra l’altro estesa a tutti gli utenti Android della piattaforma, nessuno escluso, ma che, come detto sopra, è stata riparata in tempo zero. I dettagli di quanto accaduto sono emersi nelle scorse ore, e la vulnerabilità a cui si fa riferimento è stata denominata CVE-2022-28799. Riguardava in particolare il modo in cui l’app verifica i deeplink, collegamenti ipertestuali di Android utilizzati per elaborare URL in maniera specifica: attraverso questi link si può far aprire un indirizzo attraverso il browser in un’app specifica. La falla sta in particolare nella gestione delle limitazioni delle azioni che possono essere compiute quando un’app carica un collegamento: era così stato scoperto un modo per poter aggirare tale verifica, eseguendo quindi una serie di funzioni che sarebbero potute essere dannose per TikTok.

TIKTOK, SCOPERTA GRAVE FALLA: ECCO COME AGIVA

Una di queste, aggiunge Hwupgrade, avrebbe potuto consentire anche il recupero di un token di autenticazione legato all’account utente, accedendovi senza dover necessariamente inserire una password. “I ricercatori – si legge sul sito – hanno elaborato un attacco proof-of-concept creando un collegamento che una volta cliccato ha modificato la biografia di un account TikTok in “SECURITY BREACH”. Ma se sfruttata “in the wild”, come si dice in questi casi, la vulnerabilità avrebbe potuto consentire di accedere a tutte le funzioni principali dell’account, come ad esempio la possibilità di caricare e pubblicare video, inviare messaggi e visualizzare i video archiviati”. L’impatto è stato potenzialmente molto grave tenendo conto che l’app Android di TikTok è stata scaricata 1.5 miliardi di volte: al momento non vi sono comunque prove di danni.

? FONTE: Hwupgrade.it