Een kwetsbaarheid in de Android-app van TikTok maakt het mogelijk voor aanvallers om accounts via één klik te kapen, zo ontdekte Microsoft. TikTok heeft inmiddels een update uitgebracht om het probleem te verhelpen. Volgens Microsoft is er geen misbruik van het beveiligingslek gemaakt, maar waarschuwt gebruikers om geen links van onbetrouwbare bronnen te openen.

De twee Android-apps van TikTok hebben bij elkaar 1,5 miljard gebruikers. Het probleem doet zich voor in de manier waarop de TikTok Android-app met deeplinks omgaat. Een deeplink binnen Android is een speciale hyperlink die naar een speciaal onderdeel binnen een app linkt. Wanneer de gebruiker een deeplink opent zal de Android-packagemanager kijken welke geïnstalleerde app de deeplink kan verwerken en stuurt die vervolgens door naar het betreffende app-onderdeel.

Via de kwetsbaarheid is het mogelijk voor aanvallers om de TikTok-app een willekeurige url te laten laden en JavaScript te laten uitvoeren. Daarmee is het mogelijk om authenticatietokens van gebruikers te stelen of accountgegevens op te vragen en aan te passen, zoals het aanpassen van TikTok-profielen, versturen van berichten of uploaden van video's in naam van de gebruiker.

De enige vereiste is dat een gebruiker op een speciaal geprepareerde link klinkt. Microsoft waarschuwde TikTok, dat in februari van dit jaar een update voor de Android-apps uitbracht. De impact van de kwetsbaarheid (CVE-2022-28799) is op een schaal van 1 tot en met 10 beoordeeld met een 8.3.