MKD-CIRT National Centre for Computer Incident Response
Мајкрософт во средата ги обелодени деталите за веќе закрпената сериозна ранливост (ранливост со голема тежина” во апликацијата TikTok за Android која може да им дозволи на напаѓачите да преземат кориснички сметки кога потенцијалната жртва ќе кликне на злонамерна врска/линк.
Успешното искористување на ранливоста може да им овозможи на злонамерните актери да пристапат и да ги модифицираат профилите на корисниците и чувствителните податоци, што може да доведе до кражба и злоупотреба на приватните видеа од корисниците. Напаѓачите исто така можат да ја злоупотребуваат оваа рналивост и за да испраќаат пораки и да поставуваат видеа во име на корисниците.
Објавена како CVE-2022-28799 (CVSS резултат: 8.8), ранливоста има врска со управувањето на апликацијата со она што се нарекува длабока врска, специјален хиперлинк која им овозможува на апликациите да отворат одреден ресурс во рамките на друга апликација инсталирана на уредот, наместо да ги насочуваат корисниците на веб-страница.
“Од програмска перспектива, користењето на JavaScript интерфејсите претставува значителни ризици”, истакна Мајкрософт. “Компромитираниот JavaScript интерфејс може потенцијално да им овозможи на напаѓачите да го извршуваат кодот користејќи ја идентификацијата и привилегиите на апликацијата.”
Се препорачува најитно ажурирање на мобилната апликација TikTok за Android преку официјалниот пазар на Google Play.
MKD-CIRT на своите корисници им препорачува:
- Избегнувајте кликнување на врски од недоверливи извори
- Секогаш одржувајте го уредот и инсталираните апликации ажурирани
- Никогаш не инсталирајте апликации од недоверливи извори
- Веднаш пријавете до вендорот секое чудно однесување на апликацијата, како што се промените во поставките активирани без интеракција со корисникот
Извор:
