ช่องโหว่ TikTok บนแอป Android อาจทำให้ผู้ใช้ถูกขโมยบัญชีได้

0

ล่าสุด นักวิจัยจาก Microsoft ได้ค้นพบช่องโหว่บนแอป TikTok บน Android ที่อาจทำให้ผู้ใช้ถูกขโมยบัญชีไปได้เพียงแค่กดคลิกเดียว

โดยนักวิจัยได้เจอช่องโหว่ระดับ High Severity (CVE-2022-28799) บนแอป TikTok Android ที่จะทำให้ผู้ใช้ถูก Hijack บัญชีโดยกดเพียงแค่คลิกเดียว หากแต่นักวิจัยระบุไว้ว่าช่องโหว่ดังกล่าวจำเป็นจะต้องมีช่องโหว่อื่น ๆ ที่ต้องมีอยู่ด้วย

Microsoft รายงานปัญหาดังกล่าวนี้ไปที่ TikTok ตั้งแต่เดือนกุมภาพันธ์ที่ผ่านมา ซึ่งดูท่าทาง TikTok จะเร่งรีบดำเนินการแก้ไข และ Microsoft ยืนยันว่าไม่ได้พบเห็นการโจมตีในวงกว้างอันเนื่องมาจากบั๊กดังกล่าวแต่อย่างใด

ผู้เชี่ยวชาญได้ประมาณการณ์ไว้ว่าช่องโหว่ดังกล่าวนั้นได้มีผลในแอป Android ซึ่งมีผู้ติดตั้งบน Google Play Store มากกว่า 1.5 พันล้านบัญชีเลยทีเดียว เรียกว่าเยอะมาก ๆ ถ้าหากมีการโจมตีเกิดขึ้นจริง ๆ 

“ผู้โจมตีอาจจะใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อ Hijack บัญชีโดยที่ผู้ใช้งานไม่ทันสังเกต โดยเพียงแค่ผู้ใช้กดคลิกเข้าไปในลิงก์ที่ถูกจัดฉากขึ้นมาคลิกเดียวเท่านั้น” Microsoft เผย “จากนั้น ผู้โจมตีอาจจะเข้าไปปรับแก้ไข Profile ผู้ใช้บน TikTok ที่อาจจะเป็นข้อมูลละเอียดอ่อน (Sensitive Information) อย่างเช่น วีดีโอที่ตั้งค่าไว้เป็นส่วนตัวเท่านั้น (Private) ส่งข้อความอะไรบางอย่างออกไปหรือว่าอัปโหลดวีดีโอแปลก ๆ ในฐานะของผู้ใช้คนนั้น”

ช่องโหว่ดังกล่าวจะทำให้แฮกเกอร์สามารถข้าม (Bypass) การตรวจสอบที่เป็นแบบ Deeplink Verification ของแอปไปได้ และผู้โจมตีจะบังคับให้แอปโหลด URL บางอย่างใส่เข้าไปใน WebView ของแอป ที่ทำให้ URL นั้นเข้าถึงโค้ด Javascript ที่แทรกเข้ามาใน WebView เพื่อให้สิทธิฟังก์ชันอะไรบางอย่างกับผู้โจมตีดำเนินการในขั้นตอนถัด ๆ ไป

เรียกได้ว่าเป็นอีกช่องโหว่ที่ผู้ใช้ควรจะต้องระมัดระวัง ซึ่งผู้ใช้งาน TikTok บน Android ควรจะอัปเดตให้เป็นเวอร์ชันล่าสุดเสมอ (อัปเดตให้เป็นเวอร์ชัน 23.7.3 เพื่อปิดช่องโหว่ดังกล่าว) เพื่อป้องกันช่องโหว่ที่อาจจะยังคงมีอยู่ในเวอร์ชันก่อนหน้า อีกทั้งควรระมัดระวังไม่คลิกลิงก์ใด ๆ จากแหล่งที่ไม่น่าเชื่อถือ ติดตั้งแอปใด ๆ ผ่านช่องทาง Official เสมอ ก็จะช่วยให้ปลอดภัยจากภัยคุกคามที่อาจเกิดขึ้นได้ในระดับหนึ่ง

ที่มา: https://securityaffairs.co/wordpress/135125/mobile-2/tiktok-android-app-bug.html

SourceTitle:

Hashtag: #TikTok #Android #Hijack #Account