Jouw TikTok account kan worden gehackt met slechts één enkele klik!

Wouter van den Berkmortel
·
25/10/2022
Microsoft heeft een kwetsbaarheid met hoge ernst ontdekt in de Android-applicatie van TikTok, waardoor aanvallers met één klik accounts van gebruikers hadden kunnen compromitteren. Meer weten? Lees dan gauw de nieuwste blog van Master IT!

De kwetsbaarheid, waarvoor meerdere problemen aan elkaar hadden moeten worden gekoppeld om te kunnen worden misbruikt, is verholpen en Microsoft heeft geen bewijs gevonden van exploitatie in de praktijk. Aanvallers hadden de kwetsbaarheid kunnen benutten om een account te kapen zonder dat de gebruiker zich daarvan bewust was. Aanvallers hadden vervolgens toegang kunnen krijgen tot de TikTok-profielen en gevoelige informatie van gebruikers en deze kunnen wijzigen, bijvoorbeeld door privévideo’s openbaar te maken, berichten te versturen en video’s te uploaden namens gebruikers. Wil je meer weten over het lek in TikTok? Lees dan gauw verder!

Omzeilen Deeplink-verificatie

Door het lek kon de deeplink-verificatie van de app worden omzeild. Aanvallers konden de app dwingen om een willekeurige URL naar de WebView van de app te laden, waardoor de URL vervolgens toegang kreeg tot de gekoppelde JavaScript-bridges van de WebView en functionaliteit kon verlenen aan aanvallers. Microsoft heeft eerder onderzoek gedaan naar JavaScript bridges vanwege hun mogelijk verstrekkende gevolgen. Dit onderzoek benadrukt het belang van voorzichtigheid bij het klikken op onbekende links en laat ook zien hoe samenwerking binnen de beveiligingsgemeenschap nodig is om de verdediging van het totale digitale ecosysteem te verbeteren.

Twee TikTok-varianten

TikTok heeft twee varianten van zijn Android-app: een voor Oost- en Zuidoost-Azië onder de pakketnaam com.ss.android.ugc.trill, en een andere voor de overige landen onder de pakketnaam com.zhiliaoapp.musically. Tijdens een kwetsbaarheidsonderzoek van TikTok stelden we vast dat de problemen betrekking hadden op beide varianten van de app voor Android, die samen meer dan 1,5 miljard keer zijn geïnstalleerd via de Google Play Store. Na zorgvuldige beoordeling van de gevolgen heeft een beveiligingsonderzoeker van Microsoft TikTok in februari 2022 op de hoogte gesteld van de problemen, als onderdeel van ons beleid voor verantwoordelijke openbaarmaking via Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR). TikTok reageerde snel door een fix uit te brengen om de gemelde kwetsbaarheid te verhelpen, nu geïdentificeerd als CVE-2022-28799, en gebruikers kunnen de CVE-vermelding raadplegen voor meer informatie. TikTok-gebruikers worden aangemoedigd ervoor te zorgen dat ze de nieuwste versie van de app gebruiken.

Beveiligingsrichtlijnen

Door gebruik te maken van nieuwe bedreigingen, technieken en mogelijkheden van aanvallers, blijven aanvallers zich richten op het identificeren en benutten van ongepatchte kwetsbaarheden en verkeerde configuraties als vector om toegang te krijgen tot systemen en gevoelige informatie voor kwaadaardige doeleinden. Om in te spelen op het veranderende bedreigingslandschap moeten we onze kennis en expertise uitbreiden naar andere apparaten en platforms als onderdeel van ons streven naar voortdurende verbetering van de beveiliging van Microsoft, niet alleen voor Microsoft.

We gebruiken gezamenlijk onderzoek zoals dit om onze beschermingstechnologieën voor alle platforms te verbeteren en ervoor te zorgen dat Microsoft Defender Vulnerability Management geïnstalleerde toepassingen met bekende kwetsbaarheden detecteert en waarschuwt – inclusief die voor niet-Windows apparaten. Hoewel we niet op de hoogte zijn van actief gebruik van deze kwetsbaarheid in de praktijk, kunnen gebruikers de onderstaande beveiligingsrichtlijnen volgen om zich tegen deze en soortgelijke problemen te verdedigen:

  • Vermijd het klikken op links van niet-vertrouwde bronnen
  • Houd het apparaat en de geïnstalleerde toepassingen altijd bijgewerkt
  • Installeer nooit toepassingen van niet-vertrouwde bronnen
  • Meld vreemd gedrag van toepassingen onmiddellijk aan de leverancier, zoals het wijzigen van instellingen zonder interactie van
    de gebruiker.

Samenwerken is onmisbaar in de strijd tegen cybercrime

Als onderdeel van ons beleid van verantwoordelijke openbaarmaking via Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR), hebben we de kwetsbaarheid aan TikTok bekendgemaakt in februari 2022, zoals aangegeven op de website. De kwetsbaarheid, CVE-2022-28799, werd al snel beoordeeld als zeer ernstig met een score van 8,3, en een oplossing voor het probleem werd opgenomen in een bijgewerkte versie van de app die minder dan een maand na de eerste bekendmaking werd uitgebracht.
Dit geval laat zien dat het vermogen om onderzoek en het delen van informatie over bedreigingen te coördineren via samenwerking tussen deskundigen en bedrijven noodzakelijk is om problemen effectief op te lossen. Aangezien het aantal en de geavanceerdheid van bedreigingen voor verschillende platforms blijft toenemen, zijn onthullingen van kwetsbaarheden, gecoördineerde reacties en andere vormen van het delen van informatie over bedreigingen nodig om de computerervaring van gebruikers te helpen beveiligen, ongeacht het platform of het apparaat dat wordt gebruikt. Wij zullen blijven samenwerken met de grotere beveiligingsgemeenschap om onderzoek en informatie over bedreigingen te delen in het streven naar een betere bescherming voor iedereen.

Vragen naar aanleiding van deze blog? Neem dan contact met ons op!

Meer blogs over cybersecurity

Wat is een DDoS-aanval en welke preventieve maatregelen kun je nemen?

Cybersecurity voor organisaties binnen Microsoft-platformen

Ransomware aanvallen detecteren op basis van CPU-activiteit

 

 

 

 

Bij Master IT leer je alleen wat je echt nodig hebt.
Certificeringen Trainingen
Beste lesmethode
Flexibel inplannen
Kleine klassen
100% Slagingsgarantie
Gerelateerde trainingen
PL-7001
Create and Manage Canvas Apps with Power Apps (PL-7001)
Intermediate
AZ-1004
Deploy and configure Azure Monitor (AZ-1004)
Intermediate
AZ-2002
Develop an ASP.NET Core web app that consumes an API (AZ-2002)
Intermediate
Bekijk alle trainingen