TikTok per Android presenta una vulnerabilità molto grave: con un click si prende possesso di un account
Si tratta di un bug che avrebbe potenzialmente potuto permettere il furto di moltissimi account su TikTok
31/08/2022 di Ilaria Roncone
A rivelare la vulnerabilità di TikTok è stato il team di 365 Defender Research di Microsoft, che ha pubblicato la notizia tramite il suo blog. A questo problema è già stato posto rimedio con una patch, ma si tratta di un problema che avrebbe potuto rivelarsi molto grave: gli hacker, infatti, facendo appello a questo bug avrebbero potuto – tramite un solo click – pubblicare video, inviare messaggi e modificare i dettagli degli account presi di mira. Tutto si basava sul click, da parte della vittima, di un link dannoso che potenzialmente avrebbe potuto colpire centinai di milioni di utenti sulla piattaforma.
LEGGI ANCHE >>> Il nuovo singolo di Federico Baroni (che è il tiktoker che pesca cernie illegalmente) è stato promosso al Tg1
La vulnerabilità di TikTok di «gravità elevata»
Così è stata classificata, sostanziandone la gravità, la vulnerabilità che riguarda la versione dell’app TikTok per Android. Oltre a quanto già elencato, l’aggressore avrebbe potuto avere accesso anche alla lista di video memorizzati dall’account. Un bug dall’impatto potenzialmente enorme – come si legge sul blog di Microsoft – considerati gli oltre 1,5 miliardi di utenti che hanno scaricato la versione dell’app da Paly Store.
C’è da chiarire, che – fortunatamente – attualmente non risulta lo sfruttamento di questa vulnerabilità su larga scala. TikTok ha risposto rapidamente, rendendo conto della questione, e ottenendo l’elogio dei ricercatori che hanno lavorato alla ricerca – come riporta The Verge -: «TikTok ha risposto rapidamente e ci congratuliamo per la risoluzione efficiente e professionale del team di sicurezza». Il problema girava tutto attorno alla funzionalità deep link dell’app: è stato possibile recuperare un token di autenticazione legato a un determinato account utente garantendo, così, l’accesso all’account in questione senza la necessità di inserire la password. I ricercatori – creando un link maligno – sono stati in gradi di moficiare la biografia di un account scrivendo “SECURITY BREACH” e provando, così, la vulnerabilità.