Eine Schwachstelle in der TikTok-App für Android kann zum Hijacking von Konten mit nur einem Klick führen, berichtet das Microsoft 365 Defender Forschungsteam.
Microsoft hat eine hochgefährliche Sicherheitslücke in der TikTok-Android-Anwendung gefunden, die es Angreifern gestattet hätte, die Konten von Nutzern mit einem einzigen Klick zu kompromittieren. Diese Schwachstelle, für deren Ausnutzung eine Verkettung mehrerer Probleme erforderlich gewesen wäre, wurde jetzt behoben, wobei das Microsoft 365 Defender Forschungsteam noch keine Hinweise auf eine Ausnutzung in freier Wildbahn gefunden hat.
Konto mit einem Klick übernehmen
Angreifer hätten diese Schwachstelle ausnutzen können, um ein Konto zu kapern, ohne dass der Benutzer das bemerkt hätte, wenn er einfach auf einen speziell zu dem Zweck gestalteten Link geklickt hätte.
Danach hätte ein Angreifer auf die TikTok-Profile und sensible Informationen der Nutzer zugreifen und diese ändern können, indem sie zum Beispiel private Videos veröffentlichten, Nachrichten verschickten oder Videos im Namen der kompromittierten Benutzer hochluden.
Nutzen Sie die neueste Version der Android-App von TikTok!
Über diese Sicherheitslücke konnte man die Deeplink-Verifizierung der App umgehen. TikTok hat schnell reagiert und einen Fix für die gemeldete Schwachstelle veröffentlicht, die jetzt als CVE-2022-28799 identifiziert wurde. Benutzer können sich für weitere Informationen auf den CVE-Eintrag beziehen. TikTok-Nutzern wird dringend empfohlen, sicherzustellen, dass sie ab sofort diese neueste Version der App benutzen.
