Cztery poważne luki w aplikacji TikTok na Androida wykrył zespół ekspertów ds. cyberbezpieczeństwa z Ovsersecured. Atakujący mogli mieć dostęp do prywatnych zdjęć, filmów, a także na podsłuchiwanie i nagrywanie ofiary. Luki zostały już załatane.
Badacze ujawnili aż cztery poważne luki w typu zero day w aplikacji TikTok na Androida. Nie wiadomo, czy zostały wykorzystane przez cyberprzestępców, ale pozwalały na całkowite przejmowanie kontroli nad kontem każdego użytkownika.
Wykorzystanie jednej z luk mogło dać atakującemu znacznie większe możliwości. Mógł uzyskać dostęp do uprawnień aplikacji, czyli do zdjęć i filmów zawartych w pamięci urządzenia, pobierania plików przez przeglądarkę, nagrywania dźwięku i obrazu a także do kontaktów ofiary.
Luki wykryte przez badaczy pozwalały innym aplikacjom na wykonywanie dowolnego kodu TikToku. Uzyskanie dostępu było możliwe, poprzez nieprawidłowe zabezpieczenie w sposobie ładowania plików do programu. Wszystkie cztery dotyczyły różnych komponentów zawartych w pliku AndroidManifest.xml: DetailActivity, NotificationBroadcastReceiver, oraz IndependentProcessDownloadService AIDL (Android Interface Definition Language).
Źródło: dobreprogramy.pl
