Foi descoberta uma vulnerabilidade no aplicativo TikTok para Android que permite que invasores obtenham acesso não detectado a contas.

A Microsoft divulgou hoje uma vulnerabilidade no aplicativo TikTok para Android que permitiu que invasores obtivessem acesso a contas de usuários com um único clique. Isso segue o recente esclarecimento do TikTok sobre uma suposta violação de dados nos EUA.

A especificidade da exploração exigia que vários problemas fossem encadeados para funcionar, e o problema já havia sido corrigido sem nenhum sinal de exploração em estado selvagem. Os invasores podem usar isso sem o conhecimento dos usuários se for usado.

A própria vulnerabilidade permitiu que os invasores ignorassem as verificações de links diretos de um aplicativo, forçando-o a carregar uma URL arbitrária na visualização da Web do aplicativo, permitindo que ele acessasse pontes JavaScript conectadas e exponha a funcionalidade.

Existem duas variações diferentes do aplicativo TikTok, uma para o leste e sudeste da Ásia e outra para o resto do mundo. Ambos foram afetados por esse exploit e a Microsoft notificou o TikTok sobre esse problema em fevereiro de 2022.

O TikTok lançou uma atualização para o aplicativo em março de 2022, trabalhando com a Microsoft para fechar rapidamente a brecha. Felizmente, o ataque não foi explorado ativamente, pois poderia ser usado para postar vídeos e outros conteúdos na plataforma sem ser detectado. A Microsoft reiterou que o JavaScript deve ser evitado sempre que possível, pois pode evitar riscos significativos.