1 बिलियन से अधिक टिकटॉक उपयोगकर्ता ‘वन-क्लिक अकाउंट टेकओवर’ के संपर्क में आए
Microsoft ने TikTok Android एप्लिकेशन में एक उच्च-गंभीर भेद्यता का खुलासा किया है जो “एक क्लिक के साथ” खातों को अपहृत करने की अनुमति दे सकता है।
तथा कागज़ (नए टैब में खुलता है) Microsoft सुरक्षा ब्लॉग पर प्रकाशित एक लेख के अनुसार, कंपनी ने बताया कि एक परिदृश्य बनाने के लिए मुद्दों की एक श्रृंखला का फायदा उठाया जा सकता है जिसमें विशेष रूप से तैयार किए गए लिंक का एक क्लिक किसी खाते से समझौता कर सकता है।
“हमलावर तब उपयोगकर्ता की टिकटॉक प्रोफ़ाइल और संवेदनशील जानकारी को एक्सेस और संशोधित कर सकता था। उदाहरण के लिए, वे निजी वीडियो प्रकाशित कर सकते थे, संदेश भेज सकते थे, या उपयोगकर्ता की ओर से वीडियो अपलोड कर सकते थे। हो सकता था,” माइक्रोसॉफ्ट बताते हैं।
टिकटोक सुरक्षा बग
कहा जाता है कि यह भेद्यता TikTok Android क्लाइंट के सभी संस्करणों में मौजूद है। एक अरब बार।
यह मुद्दा ऐप कार्यान्वयन के इर्द-गिर्द घूमता है जावास्क्रिप्ट यह Android के लिए TikTok में व्यापक रूप से उपयोग किया जाता है। रिपोर्ट में तकनीकी बारीकियां हैं, लेकिन संक्षेप में, ऐप के जावास्क्रिप्ट इंटरफ़ेस की हैंडलिंग का दुरुपयोग करके, एंड्रॉइड रूट यूआरएल के साथ संयुक्त रूप से, माइक्रोसॉफ्ट खाता समझौता प्रदर्शित करने में सक्षम है। मैंने इसे बनाया।
सौभाग्य से, शोधकर्ताओं को कोई सबूत नहीं मिला कि भेद्यता का वास्तव में शोषण किया गया था – और समस्या है समझौता कुछ ही देर बाद फरवरी में इस मामले का खुलासा हुआ। माइक्रोसॉफ्ट के अनुसार, टिकटॉक की सुरक्षा टीम की उनकी जवाबदेही और दक्षता के लिए सराहना की जानी चाहिए।
माइक्रोसॉफ्ट 365 डिफेंडर रिसर्च टीम के दिमित्रियोस वलसामारस ने कहा:
“चूंकि प्लेटफार्मों पर खतरों की संख्या और परिष्कार में वृद्धि जारी है, हम भेद्यता प्रकटीकरण, समन्वित प्रतिक्रियाओं को लागू कर रहे हैं, और अन्य हमें खतरे की खुफिया जानकारी के रूप में साझा करने की आवश्यकता है
पैच पहले ही अधिकांश टिकटॉक उपयोगकर्ताओं को वितरित किया जा चुका है, लेकिन संबंधित उपयोगकर्ता यह सुनिश्चित कर सकते हैं कि ऐप को नवीनतम संस्करण में अपडेट करके वे सुरक्षित हैं।
