Microsoft ostrzega użytkowników przed dziurawą aplikacją TikTok

Dobra wiadomość jest taka, że twórcy aplikacji zareagowali bardzo szybko na przekazaną im informację o tym zagrożeniu i opracowali już poprawkę, która je likwiduje. Podatność oznaczono numerem CVE-2022-28799 (patrz tutaj szczegółowy opis) i ci wszyscy użytkownicy aplikacji TikTok, którzy nie zdążyli zainstalować likwidującej ją poprawki, proszeni są o to aby zrobili to jak najszybciej.

Podatność znajduje się w interfejsie aplikacji, konkretnie w komponencie WebView. Luka wynika ze sposobu, w jaki programiści TikToka zaimplementowali interfejsy JavaScript w komponencie WebView. Zagrożeni są ci wszyscy użytkownicy androidowej aplikacji TikTok, którzy zainstalowani starszą wersję niż 23.7.3. Luka w zabezpieczeniach dotyczy sposobu, w jaki aplikacja TikTok obsługuje niektóre łączą (chodzi o odnośniki deeplink) w systemie Android.

Zobacz również:

Trzeba jednak pamiętać o tym, że istnieją dwie wersje aplikacji TikTok na Androida. Jedna wersja (chodzi o pakiet noszący nazwę pakietu com.ss.android.ugc.trill) jest używana w Azji, a druga (pakiet com.zhiliaoapp.musically) jest używana w pozostałych regionach.

I na koniec generalna uwaga Microsoftu dotyczącą tej podatności. Firma uważa, że programiści powinny wystrzegać się projektowania interfejsów z wykorzystanie języka JavaScript. Metoda taka stwarza poważne ryzyko popełnienia błędu, który może potencjalnie umożliwić atakującym wykonanie kodu przy użyciu identyfikatora aplikacji i uprawnień. Microsoft już wcześniej dość szczegółowo opisywał błędy popełniane przez deweloperów interfejsów, którzy posługują się językiem JavaScript. Microsoft zaleca programistom korzystanie z zatwierdzonej listy zaufanych domen obsługiwanych przez komponent WebView, co pozwala zapobiec ładowaniu złośliwych treści internetowych.

Zgłoś naruszenie/Błąd