مايكروسوفت تكتشف ثغرة أمنية خطيرة في تيك توك
أكدت شركة سامسونج أنها اكتشفت ثغرة أمنية خطيرة في تطبيق تيك توك للفيديوهات القصيرة، النسخة الخاصة بنظام تشغيل أندرويد، والتي تسمح للمخترقين بسهولة سحب الحسابات من أصحابها من خلال طريقة سهلة.
ويقوم فريق خاص من شركة مايكروسوفت باختبار وتتبع تطبيقات نظام أندرويد من أجل تقديم خدمات تشغيلها السهلة على نظام الحواسب، ويندوز 11، وبالتالي يسمح لها باكتشاف القصور والثغرات الأمنية في التطبيقات، كما فعلت بالفعل قبل فترة باكتشاف تطبيقات تقوم بجمع بيانات المستخدمين رغم تواجدها على متجر جوجل بلاي بشكل طبيعي.
وفي بيان نشرته مايكروسوفت، أكد عملاق برمجيات الحاسوب، أنها اكتشفت ثغرة أمنية عالية الخطورة تهدد بسرقة والاستحواذ على حسابات مستخدمي تيك توك وذلك فقط من خلال الضغط على رابط خاطئ واحد.
تكمن الثغرة في كيفية قيام التطبيق بالتحقق مما يُعرف بالارتباطات العميقة، وهي روابط تشعبية خاصة بنظام أندرويد للوصول إلى المكونات الفردية داخل تطبيق الهاتف.
يجب على مطوري التطبيقات تحديد هذا النوع من الروابط التي تحتاج إلى الوصول لخوادمها من مصادر خارجية، لإعادة توجيهها مباشرة للتطبيق فقط وليس صفحة على المتصفح، بمعنى، على سبيل المثال، الشخص الذي ينقر على رابط تيك توك في متصفح ما، يفتح المحتوى تلقائيًا ولكن داخل التطبيق وليس على المتصفح.
يمكن للتطبيق أيضًا التعرف على صلاحيات نظام العنوان، على سبيل المثال عند الضغط على رابط يبدأ الرابط بـ m.tiktok.com، يمكن حينها أن يفتح المحتوى المطلوب في المتصفح بطريقة WebView بينما الروابط المختلفة يتم فتح التطبيق مباشرة.
عدم تعرف التطبيق على الروابط العميقة هي ثغرة تمكن المخترقين من إجبار التطبيق على تحميل عنوان عشوائي بإعادة توجيه، وبعد ذلك يسهل معرفة بيانات دخول المستخدم وسرقة حسابه.
وأكدت الشركة أنها أخطرت تيك توك بالفعل بالثغرة الأمنية في فبراير الماضي، وقام فريق المطورين لدى الشركة الصينية، بإصلاح الخلل عبر تحديثات للتطبيق.
في النهاية، أكد مطورو مايكروسوفت على تفوقهم في جوانب عديدة من برمجة تطبيقات أندرويد، في سعيهم نحو توفير أفضل طريقة لتقديم التطبيقات للمستخدمين للعمل مباشرة على ويندوز 11، ورصدوا عدة ثغرات أمنية في تطبيقات شهيرة، وأيضًا أخرى تتجاوز حماية جوجل في أندرويد وتصل لبيانات المستخدمين أو التجسس عليهم في بعض الأحيان.