Злоумышленники рассылали пользователям сообщения с вредоносным софтом, и при их открытии хакеры получали полный контроль над учетной записью.
Пресс Служба TikTok заявили, что уязвимость была оперативно устранена. На данный момент известно только о двух скомпрометированных учетных записях, но число жертв может быть больше.
Такие атаки называются «Атаки с нулевым щелчком» (zero-click) и обычно используются хакерами для шпионажа против известных личностей и журналистов.
Это атака, не требует никаких действий со стороны жертвы. Для осуществления стандартных фишинговых атак хакеры должны заставить жертву перейти по фальшивой ссылке или загрузить и запустить вредоносное ПО. Но zero-click атака практически невидима для пользователя – она использует уязвимости в ОС для запуска вредоносного кода.
В случае с TikTok основной целью, по-видимому, был полный захват популярных аккаунтов.
После взлома упомянутые учетные записи Sony, CNN и Пэрис Хилтон были удалены, чтобы предотвратить дальнейшие злоупотребления.
Стоит отметить, что это далеко не первая уязвимость, которую находят в TikTok. Например, еще в 2022 году специалисты Microsoft обнаружили серьезную уязвимость в приложении TikTok для Android. Баг позволял злоумышленникам моментально захватывать чужие аккаунты, сразу после того, как жертва нажимала на специальную вредоносную ссылку.