समझाया: Microsoft ने TikTok Android उपयोगकर्ताओं को एक गंभीर भेद्यता से कैसे बचाया

साइबर सुरक्षा शोधकर्ता माइक्रोसॉफ्ट एक महत्वपूर्ण सुरक्षा बग की खोज की है जिसने उजागर किया है टिक टॉक के लिए ऐप एंड्रॉयड उपयोगकर्ताओं को हैकर्स। टेक दिग्गज ने अपडेट किया है माइक्रोसॉफ्ट सुरक्षा भेद्यता को प्रकट करने के लिए ब्लॉग और रिपोर्ट किया कि इस शोषण (यदि दुरुपयोग किया गया) से 1.5 बिलियन उपयोगकर्ताओं (Google Play Store डेटा) की गोपनीयता को खतरा हो सकता है जो अपने Android उपकरणों पर टिकटॉक का उपयोग करते हैं। हालाँकि, ब्लॉग में उल्लेख किया गया है कि CVE-2022-28799 नामक “उच्च-गंभीरता” का शोषण अब ठीक हो गया है और Microsoft सुरक्षा टीम को हैकर्स द्वारा खातों में सेंध लगाने के लिए इसका उपयोग करने का कोई सबूत नहीं मिला है।
कैसे इस सुरक्षा बग ने TikTok Android ऐप को उजागर कर दिया
माइक्रोसॉफ्ट ने पहचाना है कि यह बग टिकटॉक एंड्रॉइड ऐप के सभी संस्करणों में मौजूद था जिसे 1.5 बिलियन से अधिक बार इंस्टॉल किया गया था। TikTok ऐप का Android संस्करण बड़े पैमाने पर उपयोग करता है जावास्क्रिप्ट इंटरफेस और टेक दिग्गज ने साबित कर दिया कि इन इंटरफेस का इस्तेमाल यूजर्स को शिकार बनाने के लिए किया जा सकता है। एंड्रॉइड कैसे यूआरएल को रूट करता है और जावास्क्रिप्ट इंटरफेस के ऐप की हैंडलिंग का फायदा उठाकर, माइक्रोसॉफ्ट एक खाता समझौता प्रदर्शित करने में भी सक्षम था।

ब्लॉग पोस्ट के अनुसार, इस भेद्यता ने “ऐप के डीप लिंक सत्यापन को बायपास करने की अनुमति दी।” इसने हमलावरों को “ऐप को ऐप के लिए एक मनमाना URL लोड करने के लिए मजबूर करने की अनुमति दी।” वेब-दृश्ययूआरएल को वेबव्यू के संलग्न जावास्क्रिप्ट पुलों तक पहुंचने और हमलावरों को कार्यक्षमता प्रदान करने की इजाजत देता है, “ब्लॉग जोड़ा गया।
इस भेद्यता का दुरुपयोग कैसे किया जा सकता था
ब्लॉग के अनुसार, अगर हैकर्स ने इस भेद्यता का फायदा उठाने का फैसला किया, तो वे उपयोगकर्ताओं से एक क्लिक के साथ खातों तक पहुंच सकते थे। ब्लॉग में यह भी उल्लेख किया गया है कि हमलावर ईमेल या अन्य ऑनलाइन मैसेजिंग सेवाओं के माध्यम से एक समझौता लिंक भी वितरित कर सकते थे।
इन लिंक्स पर एक टैप से हैकर्स को उनके टिकटॉक खातों तक पहुंचने की अनुमति देकर, तुरंत आपके खाते से समझौता करके उपयोगकर्ताओं को शिकार बना लिया होगा। साइबर हमलावर इस भेद्यता का इस्तेमाल पीड़ितों की ओर से निजी वीडियो को प्रचारित करने, संदेश भेजने और वीडियो अपलोड करने के लिए कर सकते थे।
इस सुरक्षा बग पर TikTok ने कैसे प्रतिक्रिया दी
माइक्रोसॉफ्ट के 365 डिफेंडर रिसर्च टीम फरवरी में पहली बार सुरक्षा बग देखा और निवारण के लिए टिकटॉक को इसकी सूचना दी। चीनी सोशल मीडिया कंपनी ने इस भेद्यता को ठीक करने का दावा किया है और उसका मानना ​​है कि किसी भी खाते से समझौता नहीं किया गया था।

इसके अलावा, यहां तक ​​कि माइक्रोसॉफ्ट ने भी पुष्टि की कि भेद्यता को ठीक कर दिया गया है और कंपनी ब्लॉग के माध्यम से “इन-द-वाइल्ड शोषण के किसी भी सबूत” का पता नहीं लगा सकी। इसके अलावा, टिकटोक ने यह भी दावा किया है कि साइबर हमलावरों द्वारा बग का फायदा उठाने का “कोई सबूत नहीं” था।
उपयोगकर्ता कैसे सुरक्षित रह सकते हैं
ब्लॉग यह भी बताता है कि Android पर अधिकांश TikTok उपयोगकर्ताओं को पहले ही पैच मिल चुका है। हालांकि, जो उपयोगकर्ता अपनी सुरक्षा के बारे में अनिश्चित हैं, उन्हें अपने ऐप को नवीनतम संस्करण में अपडेट करना चाहिए। इसके अलावा, उपयोगकर्ताओं को किसी अज्ञात ईमेल पते या फोन नंबर से भेजे गए लिंक पर क्लिक करने से पहले प्रेषक को सत्यापित करने का भी प्रयास करना चाहिए।