De TikTok-app bevatte een kwetsbaarheid die het mogelijk maakte om een account van een vreemde over te nemen. Onderzoekers van Microsoft vonden de kwetsbaarheid en TikTok heeft haar inmiddels gedicht.
De kwetsbaarheid is CVE-2022-28799 en werkt door gebruikers op een link te laten klikken in de app. Die leidt naar een WebView in de app zelf en als een aanvaller de link leidde naar een website met vooraf ingestelde Javascript-code, dan was het mogelijk om vanuit de WebView het account over te nemen.
Daarmee was het niet alleen mogelijk om persoonlijke data te gebruiken, maar ook om namens die gebruiker video's te posten, schrijft Microsoft. De kwetsbaarheid zit in alle versies van TikTok tot 23.7.3, zo vermeldt de listing van de CVE.
De kwetsbaarheid zit in beide versies van de app. Moederbedrijf Bytedance heeft een TikTok voor Zuidoost-Azië en een aparte versie voor de rest van de wereld. Gecombineerd staan beide versies in de Play Store op meer dan anderhalf miljard installaties. TikTok reageerde snel en patchte de kwetsbaarheid in februari. Voor zover bekend zijn er geen exploits van de kwetsbaarheid in het wild gezien.
/i/2004612546.png?f=fpa)
/i/2003561300.png?f=fpa)
:strip_exif()/i/2004677808.jpeg?f=fpa)
/i/2004607064.png?f=fpa)
/i/2002534036.png?f=fpa)
/i/2000900259.png?f=fpa)
:strip_exif()/u/16838/usericon.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/283762/crop58ea960fe514b_cropped.jpeg?f=community){kind=small}