TikTok: scovata una grave falla nell'app per Android

Tra le applicazioni per device mobile maggiormente usate e apprezzate negli ultimi tempi vi è senza dubbio alcuno TikTok. Non sono però tutte rose e fiori, come si suol dire: l’app per Android del celebre servizio portava infatti in dote una grave vulnerabilità che poteva essere sfruttata dai malintenzionati per prendere il controllo dell’account ed eseguire varie azioni per conto dell’utente preso di mira.

TikTok: falla CVE-2022-28799 nell'app per Android

Andando più in dettaglio, la falla, siglata come CVE-2022-28799, era presente sia nell’app distribuita in Asia che in quella disponibile in Occidente, scaricate in totale oltre 1,5 miliardi di volte dal Google Play Store.

Il problema risiedeva nella gestione di un particolare deeplink, ossia il collegamento a uno specifico componente dell’app. Quando l’utente seleziona un link su Android gli viene chiesto quale app utilizzare (sempre o solo una volta).

TikTok per Android apre automaticamente tutti i link con dominio m.tiktok.com, per cui la vulnerabilità poteva essere sfruttata da un malintenzionato per convincere l’utente a selezionare su un determinato link e caricare una pagina Web nell’app tramite WebView, aggirando la verifica del deeplink e con del codice nascosto che permetteva di accedere ai dati personali e ai video privati.

Il bug è stato individuato da Microsoft: la segnalazione è stata fatta a febbraio e l’azienda cinese ha proceduto con la risoluzione a marzo. Attualmente, dunque, non vi è più alcun rischio, ma in generale non è mai il caso di abbassare la guardia e di prestare sempre la massima attenzione a ciò che viene fatto dai propri dispositivi. È altresì consigliabile adoperare un buon antivirus anche su device mobile, come nel caso di Norton 360 Premium.