Uma falha de alta gravidade foi detectada no aplicativo TikTok para Android, permitindo que invasores assumissem contas com apenas um clique. A falha, engana as vítimas alvo para clicar em um link malicioso.

Segundo a Microsoft, os invasores poderiam abusar da falha, identificada como CVE-2022-28799, para sequestrar contas de usuários e obter acesso a suas informações confidenciais.

Especialistas observaram que clicar no link malicioso expôs 70 métodos que poderiam ser usados por um invasor com uma exploração para sequestrar o componente WebView do aplicativo TikTok.

Os invasores podem usar esse acesso para modificar os perfis do TikTok e informações confidenciais dos usuários, como enviar mensagens, postar vídeos privados e fazer upload de vídeos em nome dos usuários.

A falha é uma vulnerabilidade de sequestro do WebView no aplicativo TikTok que ocorre devido a um link direto não validado em um parâmetro não limpo. O abuso pode levar ao sequestro de conta via interface JavaScript.

A vulnerabilidade de segurança agora foi corrigida desde o lançamento do TikTok versão 23.7.3.