마이크로소프트(MS)가 원클릭 계정 하이재킹으로 이어질 수 있는 안드로이드용 틱톡 애플리케이션(앱)의 보안 취약점을 발견했다.
전문가들은 이번 취약점이 구글 플레이스토어를 통해 설치된 15억 개 이상의 틱톡 앱에 영향을 미쳤다고 보고 있다.
MS 연구팀에 따르면, 틱톡 앱에서 발견된 보안 취약점(CVE-2022-28799)은 해커가 클릭 한 번으로 사용자 계정을 도용할 수 있게 만든다.
MS 연구팀은 "해커는 표적 사용자가 특수 제작된 링크를 클릭하기만 하면 사용자가 인지하지 못하는 사이에 이 취약점을 악용하여 계정을 탈취할 수 있다. 해커는 해킹한 계정을 통해 비공개 동영상을 공개하고, 메시지를 보내고, 동영상을 업로드하는 등 사용자의 프로필과 민감한 정보에 접근하고 수정할 수 있다”라고 설명했다.
해커는 취약점을 통해 앱의 딥링크 확인을 우회할 수 있다. 또한 틱톡 앱이 앱의 WebView에 임의의 URL을 로드하도록 해 WebView에 연결된 JavaScript 브리지에 접근하고 제어 기능을 부여하게 한다.
MS는 WebView를 하이재킹하기 위해 익스플로잇을 사용, 관련 메서드를 호출해 해커에게 접근 기능이 부여될 수 있다고 지적했다. 해커는 이 방법을 통해 사용자의 개인정보에 접근해 데이터를 마음대로 수정할 수 있다.
한편, MS는 2월에 이 취약점을 틱톡에 알렸으며, 틱톡은 즉시 문제를 해결했다고 했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
