Microsoft ha trovato una grave vulnerabilità nell’app Android di TikTok che avrebbe potuto consentire agli hacker di dirottare milioni di account, accedere a tutte le funzioni principali di un account, compresa la possibilità di pubblicare contenuti e inviare messaggi. I ricercatori del 365 Defender Research di Microsoft hanno descritto in dettaglio un exploit con un solo click di cui hanno informato TikTok. La buona notizia è che l’azienda di social media ha prontamente risolto la vulnerabilità e Microsoft afferma di non avere prove che qualcuno l’abbia utilizzata in libertà.
Microsoft ha fornito informazioni sulla vulnerabilità nel mese di febbraio ed ha collaborato per risolvere il problema e TikTok ha risposto rapidamente alla segnalazione tanto che il team si è congratulato per la prontezza nella risoluzione efficiente del team di sicurezza del social.
Secondo Microsoft, la vulnerabilità riguardava una svista nella funzionalità di deep linking di TikTok. Su Android, gli sviluppatori possono programmare le loro applicazioni per gestire determinati URL in modi specifici. Quando si tocca un incorporamento di Twitter in Chrome e di conseguenza si apre automaticamente l’app di Twitter sullo smartphone, questo è un esempio della funzionalità di deep linking che funziona come dovrebbe.
Microsoft però ha trovato un modo per aggirare il processo di verifica che TikTok aveva messo in atto per limitare l’esecuzione di determinate azioni ed ha quindi scoperto di poter utilizzare questa vulnerabilità per accedere a tutte le funzioni principali di un account con un solo click. La falla era presente in entrambe le versioni dell’app Android di TikTok che contano più di 1,5 miliardi di download.
Microsoft consiglia a tutti gli utenti di TikTok su Android di scaricare l’ultima versione dell’app non appena possibile. Più in generale, è possibile proteggersi in futuro da exploit simili evitando di fare click su link non sicuri.