У TikTok знайшли вразливість, що дозволяла викрадати акаунти через шкідливе посилання

У сервісі коротких відео TikTok було виявлено вразливість «високого ступеня серйозності», завдяки якій зловмисники могли отримати доступ до облікового запису користувача одним клацанням миші.

Вразливість була виявлена ​​в додатку TikTok для Android дослідницької групи Microsoft 365 Defender Research Team, яка поділилася подробицями про неї у своєму блозі. Користувачеві було достатньо натиснути на шкідливе посилання, і зловмисник отримував контроль над його обліковим записом з можливістю завантаження та публікації відеороликів, надсилання повідомлень іншим користувачам та перегляду приватних відео, що зберігаються в обліковому записі.

Microsoft повідомила TikTok про вразливість, що торкнулася функціональності глибоких посилань у додатку для Android, і сервіс її оперативно виправив. “TikTok відреагував швидко, і ми високо оцінюємо ефективне та професійне рішення команди безпеки”, – розповів ресурсу The Verge Танмай Ганачарья (Tanmay Ganacharya), директор-партнер з досліджень у галузі безпеки в Microsoft Defender for Endpoint.

Прес-секретар TikTok Морін Шанахан (Maureen Shanahan) зазначила, що додаток TikTok для Android завантажили понад 1,5 млрд разів у магазині Google Play, тому шкода від цієї вразливості потенційно могла бути величезною. Однак немає жодних доказів того, що цим багом хтось скористався.