تعرض أكثر من مليار مستخدم لـ TikTok لـ "سرقة الحساب بنقرة واحدة"

كشفت شركة Microsoft أن ثغرة خطيرة في تطبيق TikTok Android كان من الممكن أن تسمح باختراق الحسابات "بنقرة واحدة with a single click".

في ورقة تم نشرها على مدونة Microsoft Security، أفادت الشركة أنه قد تم إساءة استخدام سلسلة من المشكلات لإنشاء سيناريو يمكن من خلاله اختراق الحساب بضغطة واحدة على رابط معد خصيصًا.

أوضحت Microsoft: "كان بإمكان المهاجمين بعد ذلك الوصول إلى ملفات تعريف المستخدمين TikTok والمعلومات الحساسة وتعديلها، مثل نشر مقاطع الفيديو الخاصة وإرسال الرسائل وتحميل مقاطع الفيديو نيابة عن المستخدمين".

 
خطأ أمني في TikTok
يقال إن الثغرة الأمنية المذكورة كانت موجودة في جميع إصدارات عميل TikTok Android، والتي تم تثبيتها بشكل جماعي أكثر من 1.5 مليار مرة.

تدور المشكلة حول تنفيذ التطبيق لواجهات JavaScript، والتي تُستخدم على نطاق واسع عبر TikTok لنظام Android. يتعمق التقرير في التفاصيل الفنية الجوهرية، ولكن في جوهره، من خلال استغلال معالجة التطبيق لواجهات JavaScript، جنبًا إلى جنب مع الطريقة التي يوجه بها Android عناوين URL، تمكنت Microsoft من إظهار اختراق الحساب.

لحسن الحظ، لم يكتشف الباحثون أي دليل على استغلال الثغرة الأمنية من قبل- وتم تصحيح المشكلة بعد وقت قصير من الكشف عن المشكلة مرة أخرى في فبراير. وفقًا لمايكروسوفت، ينبغي الإشادة بفريق TikTok الأمني ​​لسرعة وكفاءة استجابته.

قال ديميتريوس فالساماراس، من فريق Microsoft 365 Defender Research Team: "تعرض هذه الحالة كيف أن القدرة على تنسيق البحث ومشاركة المعلومات الاستخباراتية عن التهديدات عبر التعاون بين الخبراء والصناعات أمر ضروري لتخفيف المشكلات بشكل فعال".

"مع استمرار تزايد التهديدات عبر الأنظمة الأساسية من حيث الأعداد والتطور، يلزم الكشف عن الثغرات الأمنية والاستجابة المنسقة وأشكال أخرى من مشاركة معلومات التهديد للمساعدة في تأمين تجربة الحوسبة للمستخدمين، بغض النظر عن النظام الأساسي أو الجهاز المستخدم".

على الرغم من أن التصحيح سيكون قد شق طريقه بالفعل إلى غالبية مستخدمي TikTok-ers، إلا أنه يمكن للمستخدمين المعنيين ضمان حمايتهم من خلال تحديث تطبيقهم إلى أحدث إصدار.