Un ex ingegnere di Google aveva scoperto che l’app per iOS traccia le attività degli utenti con il browser interno. Ora Microsoft rivela di aver trovato una grave vulnerabilità in TikTok per Android. Un malintenzionato poteva prendere il controllo dell’account ed eseguire varie azioni per conto dell’ignaro utente. Il bug è stato segnalato a febbraio e risolto dall’azienda cinese a marzo.
Accesso all’account con un clic
La vulnerabilità, indicata con CVE-2022-28799, era presente sia nell’app distribuita in Asia che in quella disponibile in Occidente, scaricate complessivamente oltre 1,5 miliardi di volte dal Google Play Store. Il problema risiedeva nella gestione di un particolare deeplink, ovvero il collegamento ad uno specifico componente dell’app. Quando l’utente clicca sul link, Android chiede all’utente di scegliere l’app da utilizzare (sempre o solo una volta).
TikTok per Android apre automaticamente tutti i link con dominio m.tiktok.com
. Un malintenzionato poteva sfruttare la vulnerabilità per convincere l’utente a cliccare su un particolare link e caricare una pagina web nell’app tramite WebView, aggirando la verifica del deeplink. Il codice JavaScript nascosto della pagina permetteva di accedere ai dati personali e ai video privati.
In pratica la vulnerabilità consentiva di prendere il controllo dell’account. Microsoft ha segnalato il problema a febbraio. TikTok ha rilasciato la patch con la versione 23.7.3 di marzo. Gli utenti non dovrebbero cliccare su link sospetti. In ogni caso è preferibile aprire le pagine web con il browser esterno, non con quello in-app.