TikTok, una grave vulnerabilità su Android consentiva di prendere possesso dell’account dell’utente con facilità. Ecco tutti i dettagli.

La versione Android della nota app social TikTok è stata scoperta una vulnerabilità estremamente grave che avrebbe addirittura consentito ad un malintenzionato di prendere pieno possesso di qualsiasi account. Il tutto poteva avvenire in modo molto semplice. All’utente bastava cliccare su un collegamento dannoso senza compiere ulteriori passaggi.

Con questa vulnerabilità il malintenzionato avrebbe potuto prendere possesso dell’account di qualsiasi utente della piattaforma. Fortunatamente la falla è stata tempestivamente scoperta dai ricercatori di sicurezza Microsoft. I ricercatori hanno provveduto a segnalare immediatamente i dettagli a TikTok.  La società cinese ha ovviamente risposto alle segnalazioni, provvedendo alla correzione del problema.

La vulnerabilità, nota con il nome in codice CVE-2022-28799, riguardava i passaggi compiuti dall’app per verificare i deeplink. Questi collegamenti ipertestuali specifici di Android sono spesso utilizzati per elaborare gli URL in una maniera specifica.

Ad esempio attraverso i deeplink su Android è possibile dare comando al browser di aprire una precisa app o uno specifico URL.

Per la gestione ottimale dei deeplink viene utilizzato un meccanismo di verifica utile per ridurre al minimo le azioni compiute dall’app quando carica il collegamento. La falla sfruttava proprio questa debolezza. I ricercatori di Microsoft hanno scoperto un metodo per aggirare il passaggio di verifica. In questo modo risultava possibile eseguire numerose funzioni, molte delle quali dannose per il possessore dell’account TikTok.

Tra le varie possibilità c’era anche quella di avere accesso all’account senza bisogno di utilizzare la password.

La falla scoperta da Microsoft non risulta sfruttata da malintenzionati. Al momento TikTok ha già provveduto a risolverla.

Scritto da Michele Bellotti