جرى الكشف اليوم عن تفاصيل الاستغلال بنقرة واحدة في منشور مدونة من باحثين في فريق أبحاث 365 Defender التابع لـ Microsoft ، حيث تم الكشف عن الثغرة الأمنية لـ TikTok بواسطة Microsoft، واستجابت TikTok بسرعة وتم التعاون بينهما لحل المشكلة في ذاك الوقت
هذا وكان من الممكن استخدام الخطأ والهجوم الناتج عنه، المسمى "ثغرة أمنية عالية الخطورة"، لاختطاف حساب أي مستخدم لـ TikTok على Android دون علمه، بمجرد النقر على رابط تم إنشاؤه خصيصًا، بعد النقر على الرابط، سيتمكن المهاجم من الوصول إلى جميع الوظائف الأساسية للحساب، بما في ذلك القدرة على تحميل ونشر مقاطع الفيديو، وإرسال رسائل إلى مستخدمين آخرين، وعرض مقاطع الفيديو الخاصة المخزنة في الحساب.
وتبعا لما نشره موقع theverge المتخصص فى أخبار التقنية كان التأثير المحتمل هائلاً، حيث أثر على جميع المتغيرات العالمية لتطبيق Android TikTok، والذي يبلغ إجمالي تنزيله أكثر من 1.5 مليار تنزيل على متجر Google Play ومع ذلك، لا يوجد دليل على أنه تم استغلالها من قبل جهات سيئة. أكدت Microsoft أن TikTok استجابت على الفور للتقرير. وقال Tanmay Ganacharya، المدير الشريك لأبحاث الأمان في Microsoft Defender for Endpoint، لموقع The Verge: "لقد قدمنا لهم معلومات حول الثغرة الأمنية وتعاوننا للمساعدة في حل هذه المشكلة".استجابت TikTok بسرعة، ونشيد بالقرار الفعال والمهني من فريق الأمان."
وبحسب التفاصيل المنشورة في منشور المدونة، أثرت الثغرة الأمنية على وظيفة الارتباط العميق لتطبيق Android. تخبر معالجة الارتباط العميق هذه نظام التشغيل بالسماح لبعض التطبيقات بمعالجة الارتباطات بطريقة معينة، مثل فتح تطبيق Twitter لمتابعة مستخدم بعد النقر على زر HTML "اتبع هذا الحساب" المضمن في صفحة ويب.
هذا وتتضمن معالجة الارتباط هذه أيضًا عملية تحقق يجب أن تقيد الإجراءات التي يتم تنفيذها عند تحميل أحد التطبيقات لارتباط معين. لكن الباحثين وجدوا طريقة لتجاوز عملية التحقق هذه وتنفيذ عدد من الوظائف القابلة للتسليح داخل التطبيق. تتيح لهم إحدى هذه الوظائف استرداد رمز المصادقة المرتبط بحساب مستخدم معين، مما يمنحهم حق الوصول إلى الحساب بشكل فعال دون الحاجة إلى إدخال كلمة مرور، ابتكر الباحثون رابطًا خبيثًا، عند النقر عليه، غيّر السيرة الذاتية لحساب TikTok لقراءة "SECURITY BREACH" وقد تم اكتشاف الثغرة الأمنية، واغتنمت Microsoft الفرصة للتأكيد على أهمية التعاون والتنسيق بين منصات التكنولوجيا والموردين.
وقال ديميتريوس فالساماراس من Microsoft في منشور المدونة: "مع استمرار تزايد التهديدات عبر الأنظمة الأساسية من حيث الأرقام والتطور، هناك حاجة إلى الكشف عن نقاط الضعف والاستجابة المنسقة وأشكال أخرى من مشاركة معلومات التهديدات للمساعدة في تأمين تجربة الحوسبة للمستخدمين، بغض النظر عن النظام الأساسي أو الجهاز المستخدم". وتابع "سنواصل العمل مع المجتمع الأمني الأكبر لمشاركة الأبحاث والمعلومات الاستخبارية حول التهديدات في محاولة لبناء حماية أفضل للجميع." على الرغم من أنه لم يعلن أن تطبيق TikTok قد تعرض لأي عمليات اختراق كبيرة حتى الآن، فقد وصفه بعض النقاد بأنه يمثل خطرًا أمنيًا لأسباب أخرى.