Több mint havi egymilliárd aktív havi felhasználójával a TikToknak már Mark Zuckerbergéket is sikerült megrémítenie, a kínai ByteDance által üzemeltetett szolgáltatás sikere azonban kiberbűnözők számára is vonzó célponttá teszi a platformot.
Ezért is lehetünk hálásak a Microsoftnak, hogy még időben kiszúrták a TikTok androidos alkalmazásának súlyos sérülékenységét, melynek révén elég lett volna egy óvatlan kattintás, hogy teljesen elveszítsük a profilunk feletti irányítást.
A CVE-2022-28799 sorozatszámon nyilvántartott problémát még februárban vették észre a redmondiak, majd értesítették róla a ByteDance-t, akik azóta csendben el is torlaszolták a szélesre tárt hátsó kaput.
"A támadók kihasználhatták a sebezhetőséget, hogy a felhasználók tudta nélkül eltérítsenek egy fiókot, ha a célszemély egyszerűen rákattintott egy speciálisan kialakított linkre. A támadók ezután hozzáférhettek és módosíthatták a felhasználók TikTok-profilját és érzékeny adatait, például privát videók közzétételével, üzenetek küldésével és videók feltöltésével a felhasználók nevében."
- írja a Microsoft 365 Defender Research Team hivatalos közleménye. Öröm az ürömben, hogy a Microsoft nem talált arra utaló jelet, hogy bárki is kihasználta volna a sérülékenységet, így jó eséllyel időben sikerült közbelépni.
A későbbiekre nézve pedig ökölszabályként elmondható, hogy a biztonság érdekében mindig tartózkodjunk az ismeretlen forrásokra vezető linkektől, és az alkalmazásokat is érdemes ellenőrzött webhelyekről, lehetőség szerint a Google Play Áruházból beszerezni, az automatikus frissítés engedélyezésével.
