TikTok%2C+grave+falla+mette+%26%238220%3Bin+mutande%26%238221%3B+gli+utenti+Android%3A+basta+un+click+per+rubare+gli+account
computermagazineit
/2022/09/02/tiktok-grave-falla-mette-in-mutande-gli-utenti-android-basta-un-click-per-rubare-gli-account/amp/
News

TikTok, grave falla mette “in mutande” gli utenti Android: basta un click per rubare gli account

E’ stata scoperta una grave falla in TikTok, quella che attualmente è, a mani basse, l’applicazione più scaricata in assoluto al mondo. A far emergere il tutto, come si legge su Hwupgrade.it, sono stati i ricercatori di sicurezza Microsoft, e la falla era venuta alla luce lo scorso mese di febbraio e subito corretta.

TikTok, 2/9/2022 – Computermagazine.it

Ma di cosa si tratta? Nel dettaglio è stata scoperta una vulnerabilità che avrebbe potuto consentire a qualsiasi aggressore di prendere il controllo totale dell’account, semplicemente dopo che l’utente avrebbe cliccato su un link dannoso, senza fare altro. Una vulnerabilità tra l’altro estesa a tutti gli utenti Android della piattaforma, nessuno escluso, ma che, come detto sopra, è stata riparata in tempo zero. I dettagli di quanto accaduto sono emersi nelle scorse ore, e la vulnerabilità a cui si fa riferimento è stata denominata CVE-2022-28799. Riguardava in particolare il modo in cui l’app verifica i deeplink, collegamenti ipertestuali di Android utilizzati per elaborare URL in maniera specifica: attraverso questi link si può far aprire un indirizzo attraverso il browser in un’app specifica. La falla sta in particolare nella gestione delle limitazioni delle azioni che possono essere compiute quando un’app carica un collegamento: era così stato scoperto un modo per poter aggirare tale verifica, eseguendo quindi una serie di funzioni che sarebbero potute essere dannose per TikTok.

TikTok, 2/9/2022 – Computermagazine.it

TIKTOK, SCOPERTA GRAVE FALLA: ECCO COME AGIVA

Una di queste, aggiunge Hwupgrade, avrebbe potuto consentire anche il recupero di un token di autenticazione legato all’account utente, accedendovi senza dover necessariamente inserire una password. “I ricercatori – si legge sul sito – hanno elaborato un attacco proof-of-concept creando un collegamento che una volta cliccato ha modificato la biografia di un account TikTok in “SECURITY BREACH”. Ma se sfruttata “in the wild”, come si dice in questi casi, la vulnerabilità avrebbe potuto consentire di accedere a tutte le funzioni principali dell’account, come ad esempio la possibilità di caricare e pubblicare video, inviare messaggi e visualizzare i video archiviati”. L’impatto è stato potenzialmente molto grave tenendo conto che l’app Android di TikTok è stata scaricata 1.5 miliardi di volte: al momento non vi sono comunque prove di danni.

? FONTE: Hwupgrade.it

Roberto Mazzucchelli

Recent Posts

Samsung Galaxy A18: Addio Exynos, Benvenuto Snapdragon nel Prossimo Smartphone Popolare

Il Samsung Galaxy A18 promette un design sobrio e un equilibrio tra prestazioni e prezzo.…

17 ore ago

Eni inaugura la costruzione della più grande gigafactory di batterie in Europa a Brindisi

Brindisi ospita il cantiere di Eni per la costruzione della più grande gigafactory di batterie…

2 giorni ago

Nintendo Switch: Fine delle Vendite a Febbraio 2027, Dopo un Decennio di Successi

La Nintendo Switch, dopo un decennio di successi e oltre 140 milioni di unità vendute,…

3 giorni ago

Scarafaggio-Cyborg: L’Innovazione Robotica al Servizio di Scopi Nobili con Batterie Biologiche

Questo articolo esplora la robotica in miniatura, con particolare attenzione agli scarafaggi-cyborg alimentati da bioelettricità.…

4 giorni ago

OxygenOS e Realme UI in via di estinzione: il futuro è ColorOS

OxygenOS e Realme UI potrebbero unificarsi in ColorOS, segnando un cambiamento significativo nel mondo Android.…

5 giorni ago

Jon Prosser risponde alla causa Apple: ‘Informazione, non furto di segreti’ – Il caso Liquid Glass

"Apple avvia una causa per la fuga di dettagli su 'Liquid Glass'. Jon Prosser risponde…

6 giorni ago