마이크로소프트365 디펜더 보안 연구팀이 틱톡 안드로이드 애플리케이션에 심각한 취약성을 발견했다고 보고했다. 이 취약점으로 인해 타깃 사용자가 악의적 URL을 한 번 탭하면 공격자가 계정을 침해하고 마음대로 메시지를 보내거나 동영상을 올릴 수 있다.
틱톡 안드로이드 앱에는 동아시아, 동남아시아용 패키지(com.ss.android.ugc.trill), 다른 국가용 패키지(com.zhiliaoapp.musically) 2가지 종류가 있다. 이번 취약점은 2가지 유형 모두에 영향을 미친다고 한다.
연구팀에 따르면 이 취약점은 안드로이드에서 브라우저를 사용하지 않고 웹 콘텐츠를 표시할 수 있도록 하는 웹뷰(WebView)에 기인한다. 웹뷰에서 신뢰할 수 없는 웹콘텐츠를 로딩하는 거승로 자바스크립트를 이용해 데이터 유출이나 데이터 파괴, 임의 코드 실행이 가능하게 되어 버린다고 한다.
이 취약점을 악용한 익스플로잇으로 공격자에 의해 사용자 인증 토큰을 마음대로 취득하거나 사용자 틱톡 계정 데이터를 취득 또는 변경할 수 있게 된다. 마이크로소프트는 지난 2월 이 문제를 틱톡 측에 알렸으며 해당 취약점은 CVE-2022-28799로 식별되어 해당 핫픽스를 출시했다. 따라서 현재 해당 취약점은 수정됐다. 연구팀은 또 CVE-2022-28799가 악용된 흔적은 없다고 밝혔다.
연구팀은 프로그래밍 관점에서 볼 때 침해된 자바스크립트 인터페이스를 통해 공격자가 앱 ID와 권한을 이용해 임의 코드를 실행할 수 있어 자바스크립트 인터페이스를 사용하기에는 심각한 위험이 수반되는 만큼 개발자 커뮤니티가 위험을 인식한 뒤 웹뷰를 보호하기 위한 특별한 예방 조치를 취하는 게 좋다고 밝히고 있다.
또 이런 취약성 악용으로부터 자신을 보호하기 위해 4가지 사항에 주의하라고 당부하고 있다. 첫째는 신뢰할 수 없는 출처 링크를 탭하지 말라는 것. 둘째는 기기와 설치된 앱을 항상 최신 상태로 유지하라는 것. 셋째 신뢰할 수 없는 소스에서 앱을 설치하지 말라는 것. 마지막은 조작하고 있지 않은데 마음대로 설정이 바뀌는 등 앱 이상 동작이 확인되면 곧바로 제조사에 보고하라는 것이다. 관련 내용은 이곳에서 확인할 수 있다.