Microsoft обнаружила серьезную уязвимость в TikTok, позволяющую захватить страницу в один клик

1 сентября 2022, 13:29
Читати новину українською

Источник:

ArsTechnica

Корпорация Microsoft рассказала об обнаруженной ее специалистами уязвимости в приложении TikTok для Android, позволявшей злоумышленникам захватывать аккаунты. От жертвы требуется лишь один клик по ссылке.

Дыру в безопасности нашли еще в феврале, присвоив ей идентификатор CVE-2022-28799. Все это время TikTok устранял проблему.

Интересно TikTok планирует запустить собственный музыкальный сервис и сразиться с другими гигантами индустрии.

Что известно

Уязвимость заключалась в том, как программа проверяла то, что называется "глубокими ссылками" – специфические для Android гиперссылки для доступа к отдельным компонентам мобильного приложения. Глубокие ссылки, например, используются для того, чтобы у нажимающего на ссылку TikTok в браузере содержимое автоматически открывалось в приложении. TikTok позволяет содержимому из tiktok.com быть загруженным в его компонент WebView, но запрещает WebView загружать содержимое из других доменов.

Уязвимость позволила обойти глубокую проверку ссылок программы. Хакеры могут заставить приложение загружать произвольный URL-адрес в WebView программы, что позволит URL-адресу затем получить доступ к подключенным мостам JavaScript WebView и предоставить функциональность злоумышленникам,
– пишут исследователи.

  • Специалистам Microsoft удалось создать специальную программу (эксплойт) для использования этого бага.
  • Это предполагало отправку целевому пользователю TikTok зловредной ссылки, которая при нажатии получала маркеры аутентификации, требующие сервера TikTok, чтобы пользователи подтвердили право собственности на свою учетную запись.
  • После этого они получили полный доступ к мосту JavaScript и смогли использовать любую функциональность.
  • К примеру, программа автоматически меняла биографию тестового пользователя на "!!НАРУШЕНИЕ БЕЗОПАСНОСТИ!!".

Microsoft заявила, что нет доказательств того, что уязвимость активно использовалась хакерами.