Microsoft ha scoperto una grave vulnerabilità nell’app TikTok per Android che potrebbe aver consentito agli hacker di dirottare milioni di account. Il 365 Defender Research Team dell’azienda ha descritto un attacco con un clic di cui ha avvertito TikTok a febbraio. La buona notizia è che la vulnerabilità è stata risolta rapidamente prima della rivelazione di oggi e Microsoft afferma di non avere prove che qualcuno la sfrutti in natura.
‘Li abbiamo informati della vulnerabilità e abbiamo collaborato per risolvere il problema’, ha detto Tanmay Ganacharya di Microsoft a The Verge. ‘TikTok ha risposto rapidamente e applaudiamo alla risoluzione efficiente e professionale del team di sicurezza.’
TikTok ha già risolto il problema
Secondo Microsoft, il difetto è stato causato da un errore nella funzionalità di collegamento di TikTok. Gli sviluppatori su Android possono programmare le loro app per gestire vari URL in modi specifici. Quando tocchi un Twitter incorporato in Chrome, l’app Twitter si apre automaticamente sul tuo telefono, questo è un esempio della tecnologia di collegamento profondo che funziona come previsto.
Tuttavia, Microsoft ha scoperto una tecnica per aggirare la procedura di autenticazione adottata da TikTok per impedire alle connessioni di eseguire attività specifiche. Successivamente hanno stabilito che avrebbero potuto sfruttare quella debolezza per ottenere l’accesso a tutte le funzionalità chiave di un account, inclusa la possibilità di inviare materiale e inviare messaggi ad altri utenti di TikTok. Il bug era presente sia nella versione globale che in quella locale dell’app Android di TikTok. Le due versioni hanno oltre 1,5 miliardi di download combinati, il che implica che l’impatto di qualcuno che ha scoperto la vulnerabilità prima che fosse patchato potrebbe essere stato enorme.
Microsoft consiglia a tutti gli utenti di TikTok su Android di scaricare la versione più recente dell’app il prima possibile. Più in generale, puoi proteggerti da tali truffe in futuro non facendo clic su collegamenti sospetti. È anche una buona idea evitare di eseguire il sideload dei programmi perché non sai mai come qualcuno potrebbe aver manomesso l’APK.