Баг в Android-версии TikTok позволял взломать аккаунты пользователей

Баг в Android-версии TikTok позволял взломать аккаунты пользователей

Баг в Android-версии TikTok позволял взломать аккаунты пользователей

Microsoft обнаружила опасную уязвимость в Android-версии приложения TikTok. Эксперты отмечают, что эксплуатация бреши позволяет злоумышленникам получить контроль над аккаунтами пользователей, для этого достаточно заставить жертву перейти по вредоносной ссылке.

Димитриос Валсамарас из команды Microsoft 365 Defender Research подчёркивает, что атаку можно провести без ведома пользователя. Всё, что нужно киберпреступнику — специально подготовленная ссылка.

«Атакующие могут получить контроль над учётной записью пользователя, а после изменить аккаунт и вытащить оттуда конфиденциальную информацию: закрытые видео, личные сообщения и т. п.», — добавляет Валсамарас.

Уязвимость кроется в системном компоненте Android WebView, который позволяет просматривать веб-контент внутри приложения. К слову, TikTok недавно как раз подвергся критике из-за кода, благодаря которому встроенный браузер может отслеживать пароли и кредитки пользователей.

Используя специальные JavaScript-методы и выявленную брешь Android-версии TikTok, атакующий может получить доступ к профилям в популярной соцсети, а также выполнить HTTP-запросы.

Более того, злоумышленнику откроются токены аутентификации, вся занесённая в аккаунт информация, видеозаписи с ограниченными правами доступа и настройки профиля. На площадке HackerOne также упоминали об этой уязвимости.

Проблема получила идентификатор CVE-2022-28799, разработчики устранили её с выходом версии TikTok 23.7.3. По данным Microsoft, злоумышленники пока не пытались использовать брешь в реальных кибератаках.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Школьные и родительские чаты в Москве переведут в MAX

Все школьные и родительские чаты в Москве будут переведены в мессенджер MAX. Об этом сообщила заместитель мэра столицы Анастасия Ракова. По её словам, переход начнётся уже с 1 сентября в рамках исполнения нового федерального закона. Таким образом, MAX станет основной цифровой платформой для общения родителей, учеников и педагогов.

Как заявила Ракова РИА Новости, перевод будет осуществлён в кратчайшие сроки.

«Федеральный закон принят, поэтому с 1 сентября все школьные родительские чаты будут переводиться в MAX», - сказала заммэра на пресс-конференции, посвящённой началу нового учебного года (цитата по Интерфаксу).

При этом требования об обязательной установке MAX появились в ряде школ ещё в конце июля. Тогда это объясняли тем, что именно MAX должен заменить платформу «Сферум», ранее использовавшуюся для образовательных коммуникаций.

В августе VK объявила о начале интеграции MAX и «Сферум». По словам представителей компании, процесс будет постепенным. С 25 августа все функции «Сферум» стали доступны пользователям в шести регионах пилотного внедрения (Республики Татарстан, Алтай и Марий Эл, Владимирская и Тверская области, Ханты-Мансийский автономный округ). С 15 сентября они начнут появляться и в других субъектах страны.

Через MAX школьники и родители смогут пользоваться сервисами системы «Моя школа», электронными дневниками, интерактивными досками и обмениваться документами с образовательными организациями. Министр просвещения Сергей Кравцов в интервью Наиле Аскер-заде в программе «Вести» подчеркнул, что российская система образования перейдёт на MAX «максимально быстро».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru