Microsoft виявила серйозну вразливість у TikTok, яка дозволяла захопити сторінку в один клік

1 вересня 2022, 13:29
Читать новость на русском

Джерело:

ArsTechnica

Корпорація Microsoft розповіла про виявлену її спеціалістами вразливість у додатку TikTok для Android, яка дозволяла зловмисникам захоплювати облікові записи. Від жертви зламу потрібен лише один клік по посиланню.

Діру в безпеці знайшли ще у лютому, присвоївши їй ідентифікатор CVE-2022-28799. Весь цей час TikTok виправляв проблему.

Цікаво TikTok планує запустити власний музичний сервіс і позмагатися з іншими гігантами індустрії

Що відомо

Уразливість полягала в тому, як програма перевіряла те, що називається "глибокими посиланнями" – специфічні для Android гіперпосилання для доступу до окремих компонентів мобільного додатка. Глибокі посилання, наприклад, використовуються для того, щоб у того, хто натискає на посилання TikTok в браузері, вміст автоматично відкривався в додатку. TikTok дозволяє вміст з tiktok.com бути завантаженим в його компонент WebView, але забороняє WebView завантажувати вміст з інших доменів.

Вразливість дозволила обійти глибоку перевірку посилань програми. Хакери можуть змусити додаток завантажувати довільну URL-адресу в WebView програми, що дозволить URL-адресі потім отримати доступ до підключених мостів JavaScript WebView і надати функціональність зловмисникам,
– пишуть дослідники.

  • Спеціалістам Microsoft далося створити спеціальну програму (експлойт) для використання цього багу.
  • Це передбачало надсилання цільовому користувачеві TikTok зловмисного посилання, яке при натисканні отримувало маркери автентифікації, які вимагають сервери TikTok, щоб користувачі підтвердили право власності на свій обліковий запис.
  • Після цього вони отримали повний доступ до мосту JavaScript і змогли використовувати будь-яку функціональність.
  • Наприклад, програма автоматично змінювала біографію тестового користувача на "!!ПОРУШЕННЯ БЕЗПЕКИ!!".

Microsoft заявила, що не має доказів того, що вразливість активно використовувалася хакерами.