Aufgrund einer mittlerweile geschlossenen Sicherheitslücke in der Android-App von TikTok hätten Angreifer die Kontrolle über TikTok-Accounts erlangen können. Dafür hätten Angreifer lediglich einen präparierten Link verbreiten müssen, auf den Opfer klicken. Das soziale Netzwerk TikTok ist vor allem bei jüngeren Menschen äußerst beliebt und die Android-App (asiatische und weltweite Versionen) weist über 1,5 Milliarden Installationen auf. Sicherheitsforscher von Microsoft sind auf die Sicherheitslücke (CVE-2022-28799 „hoch“) gestoßen. In einem Bericht versichern sie, dass sie bislang keine Beweise für Attacken beobachtet haben. Der Fehler steckt den Forschern zufolge in der WebView-Komponente zum Anzeigen von Websites innerhalb der App und der Implementation von JavaScript Interfaces. Auch der Umgang mit nicht validierten Deeplinks war problematisch. Klickt ein Opfer auf einen präparierten Link, konnte das dazu führen, dass WebView eine von Angreifern kontrollierte Website lädt. In Verbindung mit einer JavaScript-Interfaces-Injection hätten Angreifer auf Authentifizierungs-Tokens von Nutzern zugreifen und darüber Accounts übernehmen können. Microsoft gibt an, dass TikTok die Lücke innerhalb eines Monats, nachdem die Sicherheitsforscher die Verantwortlichen kontaktiert haben, geschlossen hat. Das war in der Android-Version 23.7.3 von TikTok der Fall. Generell gilt, dass man nicht ohne Nachzudenken auf Links klickt oder sogar Anhänge aus E-Mails öffnet. Letzteres ist immer noch der häufigste Auslöser für PC-Infektionen mit Erpressungstrojanern.