Группа исследователей из Microsoft 365 Defender Research Team нашла серьезную уязвимость на платформе TikTok. Она позволяла злоумышленникам похищать аккаунты при помощи вредоносных ссылок. Исследователи поделились информацией о своей «находке» в блоге.
Уязвимость позволяла преступникам отправлять пользователям фишинговые сообщения. Чтобы лишится своего аккаунта или канала, человеку нужно было всего лишь нажать на вредоносную ссылку. После этого, злоумышленники получали полный контроль над всем функционалом приложения – они могли загружать и публиковать ролики, писать сообщения и смотреть частные видео.
Microsoft оперативно сообщила руководству TikTok об уязвимости.
– TikTok отреагировал быстро, и мы высоко оцениваем эффективное и профессиональное решение команды безопасности, – заявил директор по исследованиям в области безопасности в Microsoft Defender Танмай Ганачарья.
Учитывая, что приложение TikTok загружено более 1,5 млрд раз в магазине Google Play, потенциальный ущерб от уязвимости мог стать колоссальным. Пока нет данных о том, пытались ли злоумышленники воспользоваться этой уязвимостью.