В феврале Microsoft обнаружила и сообщила о серьезной уязвимости в приложении TikTok для Android, которая позволяла злоумышленникам «быстро и незаметно» захватывать учетные записи одним щелчком мыши, заставляя цели щелкнуть специально созданную вредоносную ссылку.
«Злоумышленники могли использовать уязвимость для захвата учетной записи без ведома пользователей, если бы целевой пользователь просто щелкнул специально созданную ссылку», — сказал Димитриос Вальсамарас из исследовательской группы Microsoft 365 Defender.
«Затем злоумышленники могли получить доступ и изменить профили пользователей TikTok и конфиденциальную информацию, например, опубликовав личные видео, отправив сообщения и загрузив видео от имени пользователей».
При нажатии на ссылку было обнаружено более 70 методов JavaScript, которыми злоумышленник мог злоупотребить с помощью эксплойта, предназначенного для захвата WebView приложения TikTok (системный компонент Android, используемый уязвимым приложением для отображения веб-контента).