CVE-2022-28799

Aplicativo TikTok anterior à versão 23.7.3 para Android

A vulnerabilidade permite a apropriação de contas por meio de uma URL maliciosa capaz de forçar o WebView com.zhiliaoapp.musically a carregar um site arbitrário, potencialmente utilizando uma interface JavaScript anexada para realizar a apropriação com um único clique. Essa vulnerabilidade está relacionada ao mecanismo WebView do sistema Android, que permite carregar conteúdo da web dentro de outros aplicativos. Estima-se que mais de 1,5 bilhão de instalações de duas versões do aplicativo TikTok tenham sido afetadas antes que o problema fosse corrigido. A vulnerabilidade poderia ter permitido que invasores se apropriassem das contas dos usuários, afetando potencialmente bilhões de usuários.

Para versões anteriores à 23.7.3, atualize para a versão 23.7.3 ou posterior para resolver o problema. Como solução temporária, considere evitar links de fontes não confiáveis e atualizar regularmente o aplicativo a partir de fontes oficiais. Restringir o acesso ao componente vulnerável do Android System WebView também pode ajudar a minimizar o risco de exploração até que um patch seja aplicado.