تكتشف Microsoft ثغرة في TikTok سمحت بتسويات الحساب بنقرة واحدة
تكتشف Microsoft ثغرة في TikTok سمحت بتسويات الحساب بنقرة واحدة
توسيع
صور جيتي
قالت Microsoft يوم الأربعاء إنها حددت مؤخرًا ثغرة أمنية في تطبيق TikTok لنظام Android والتي قد تسمح للمهاجمين باختطاف الحسابات عندما لا يفعل المستخدمون شيئًا أكثر من النقر على رابط واحد يتجول. قالت الشركة المصنعة للبرامج إنها أخطرت TikTok بالثغرة الأمنية في فبراير ، وأن شركة التواصل الاجتماعي التي تتخذ من الصين مقراً لها قد أصلحت الخلل منذ ذلك الحين ، والذي تم تحديده على أنه CVE-2022-28799.
تكمن الثغرة الأمنية في الطريقة التي يفحص بها التطبيق ما يسمى بالروابط العميقة ، وهي روابط تشعبية خاصة بنظام التشغيل Android للوصول إلى المكونات الفردية داخل تطبيق الجوال. يجب الإعلان عن الروابط لمواضع معينة في بيان التطبيق لاستخدامها خارج التطبيق. لذلك ، على سبيل المثال ، الشخص الذي ينقر على رابط TikTok في متصفح يرى المحتوى مفتوحًا تلقائيًا في تطبيق TikTok.
يمكن للتطبيق أيضًا التصريح بشكل مشفر عن صلاحية نطاق عنوان URL. TikTok على Android ، على سبيل المثال ، يعلن المجال m.tiktok.com. عادة ، يسمح تطبيق TikTok بتحميل المحتوى من tiktok.com في مكون WebView الخاص به ولكنه لا يسمح لـ WebView بتحميل المحتوى من المجالات الأخرى.
كتب الباحثون: "سمحت الثغرة الأمنية بتجاوز التحقق من الرابط العميق للتطبيق". "يمكن للمهاجمين إجبار التطبيق على تحميل عنوان URL عشوائي في WebView للتطبيق ، مما يسمح لعنوان URL بالوصول بعد ذلك إلى جسور JavaScript المرتبطة بـ WebView ومنح المهاجمين وظائف."
بعد ذلك ، ابتكر الباحثون برهانًا على المفهوم لاستغلال هذا الأمر بالضبط. تضمن إرسال رابط ضار لمستخدم TikTok مستهدف ، والذي حصل عند النقر عليه على رموز المصادقة التي تحتاجها خوادم TikTok للمستخدمين لإثبات ملكية حساباتهم. قام رابط PoC أيضًا بتغيير السيرة الذاتية للملف الشخصي للمستخدم المستهدف لعرض النص "!! SECURITY BREACH !!"
"بمجرد أن ينقر مستخدم TikTok المستهدف على الرابط الخبيث المصمم خصيصًا للمهاجم ، يحصل خادم المهاجم ، https: //www.attacker [.] com / poc ، على وصول كامل إلى جسر JavaScript ويمكنه استدعاء أي وظيفة مكشوفة ، كتب الباحثون. "يعرض خادم المهاجم صفحة HTML تحتوي على كود JavaScript لإرجاع رموز تنزيل الفيديو إلى المهاجم وتعديل السيرة الذاتية للمستخدم.
قالت Microsoft إنه ليس لديها دليل على أن الثغرة الأمنية يتم استغلالها بشكل نشط في البرية.
قالت Microsoft يوم الأربعاء إنها حددت مؤخرًا ثغرة أمنية في تطبيق TikTok لنظام Android والتي قد تسمح للمهاجمين باختطاف الحسابات عندما لا يفعل المستخدمون شيئًا أكثر من النقر على رابط واحد يتجول. قالت الشركة المصنعة للبرامج إنها أخطرت TikTok بالثغرة الأمنية في فبراير ، وأن شركة التواصل الاجتماعي التي تتخذ من الصين مقراً لها قد أصلحت الخلل منذ ذلك الحين ، والذي تم تحديده على أنه CVE-2022-28799.
تكمن الثغرة الأمنية في الطريقة التي يفحص بها التطبيق ما يسمى بالروابط العميقة ، وهي روابط تشعبية خاصة بنظام التشغيل Android للوصول إلى المكونات الفردية داخل تطبيق الجوال. يجب الإعلان عن الروابط لمواضع معينة في بيان التطبيق لاستخدامها خارج التطبيق. لذلك ، على سبيل المثال ، الشخص الذي ينقر على رابط TikTok في متصفح يرى المحتوى مفتوحًا تلقائيًا في تطبيق TikTok.
يمكن للتطبيق أيضًا التصريح بشكل مشفر عن صلاحية نطاق عنوان URL. TikTok على Android ، على سبيل المثال ، يعلن المجال m.tiktok.com. عادة ، يسمح تطبيق TikTok بتحميل المحتوى من tiktok.com في مكون WebView الخاص به ولكنه لا يسمح لـ WebView بتحميل المحتوى من المجالات الأخرى.
كتب الباحثون: "سمحت الثغرة الأمنية بتجاوز التحقق من الرابط العميق للتطبيق". "يمكن للمهاجمين إجبار التطبيق على تحميل عنوان URL عشوائي في WebView للتطبيق ، مما يسمح لعنوان URL بالوصول بعد ذلك إلى جسور JavaScript المرتبطة بـ WebView ومنح المهاجمين وظائف."
بعد ذلك ، ابتكر الباحثون برهانًا على المفهوم لاستغلال هذا الأمر بالضبط. تضمن إرسال رابط ضار لمستخدم TikTok مستهدف ، والذي حصل عند النقر عليه على رموز المصادقة التي تحتاجها خوادم TikTok للمستخدمين لإثبات ملكية حساباتهم. قام رابط PoC أيضًا بتغيير السيرة الذاتية للملف الشخصي للمستخدم المستهدف لعرض النص "!! SECURITY BREACH !!"
"بمجرد أن ينقر مستخدم TikTok المستهدف على الرابط الخبيث المصمم خصيصًا للمهاجم ، يحصل خادم المهاجم ، https: //www.attacker [.] com / poc ، على وصول كامل إلى جسر JavaScript ويمكنه استدعاء أي وظيفة مكشوفة ، كتب الباحثون. "يعرض خادم المهاجم صفحة HTML تحتوي على كود JavaScript لإرجاع رموز تنزيل الفيديو إلى المهاجم وتعديل السيرة الذاتية للمستخدم.
قالت Microsoft إنه ليس لديها دليل على أن الثغرة الأمنية يتم استغلالها بشكل نشط في البرية.
توسيع
صور جيتي
