Microsoft обнаружила уязвимость TikTok, которая позволяла взломать учетную запись одним щелчком мыши
Microsoft обнаружила уязвимость TikTok, которая позволяла взломать учетную запись одним щелчком мыши
Развернуть
Гетти Изображений
В среду Microsoft заявила, что недавно обнаружила уязвимость в приложении TikTok для Android, которая может позволить злоумышленникам захватить учетные записи, когда пользователи не делают ничего, кроме перехода по одной ссылке. Производитель программного обеспечения заявил, что уведомил TikTok об уязвимости в феврале, и с тех пор китайская социальная сеть исправила уязвимость, идентифицированную как CVE-2022-28799.
Уязвимость заключалась в том, как приложение проверяло наличие так называемых ссылок на контент, которые представляют собой специфичные для Android гиперссылки для доступа к отдельным компонентам в мобильном приложении. Глубокие ссылки должны быть объявлены в манифесте приложения для использования вне приложения. Так, например, кто-то, кто нажимает на ссылку TikTok в браузере, видит, что контент автоматически открывается в приложении TikTok.
Приложение также может криптографически объявить действительность домена URL. Например, TikTok на Android объявляет домен m.tiktok.com. Обычно приложение TikTok позволяет загружать контент с tiktok.com в свой компонент WebView, но запрещает WebView загружать контент из других доменов.
«Уязвимость позволила обойти проверку внутренних ссылок приложения», — пишут исследователи. «Злоумышленники могут заставить приложение загрузить произвольный URL-адрес в веб-представление приложения, что позволит URL-адресу затем получить доступ к мостам JavaScript, подключенным к веб-представлению, и предоставить злоумышленникам функциональные возможности».
Затем исследователи создали экспериментальный эксплойт, который делал именно это. Это включало отправку целевому пользователю TikTok вредоносной ссылки, которая при нажатии получала токены аутентификации, которые нужны серверам TikTok, чтобы пользователи могли подтвердить право собственности на свою учетную запись. Ссылка PoC также изменила биографию профиля целевого пользователя, чтобы отобразить текст «!!НАРУШЕНИЕ БЕЗОПАСНОСТИ!!»
"После того, как целевой пользователь TikTok нажимает на специально созданную вредоносную ссылку злоумышленника, сервер злоумышленника, https://www.attacker[.]com/poc, получает полный доступ к мосту JavaScript и может вызывать любые открытые функции, ", - написали исследователи. "Сервер злоумышленника возвращает HTML-страницу, содержащую код JavaScript, чтобы вернуть злоумышленнику токены загрузки видео и изменить биографию профиля пользователя".
Microsoft заявила, что у нее нет доказательств того, что уязвимость активно используется в реальных условиях.
В среду Microsoft заявила, что недавно обнаружила уязвимость в приложении TikTok для Android, которая может позволить злоумышленникам захватить учетные записи, когда пользователи не делают ничего, кроме перехода по одной ссылке. Производитель программного обеспечения заявил, что уведомил TikTok об уязвимости в феврале, и с тех пор китайская социальная сеть исправила уязвимость, идентифицированную как CVE-2022-28799.
Уязвимость заключалась в том, как приложение проверяло наличие так называемых ссылок на контент, которые представляют собой специфичные для Android гиперссылки для доступа к отдельным компонентам в мобильном приложении. Глубокие ссылки должны быть объявлены в манифесте приложения для использования вне приложения. Так, например, кто-то, кто нажимает на ссылку TikTok в браузере, видит, что контент автоматически открывается в приложении TikTok.
Приложение также может криптографически объявить действительность домена URL. Например, TikTok на Android объявляет домен m.tiktok.com. Обычно приложение TikTok позволяет загружать контент с tiktok.com в свой компонент WebView, но запрещает WebView загружать контент из других доменов.
«Уязвимость позволила обойти проверку внутренних ссылок приложения», — пишут исследователи. «Злоумышленники могут заставить приложение загрузить произвольный URL-адрес в веб-представление приложения, что позволит URL-адресу затем получить доступ к мостам JavaScript, подключенным к веб-представлению, и предоставить злоумышленникам функциональные возможности».
Затем исследователи создали экспериментальный эксплойт, который делал именно это. Это включало отправку целевому пользователю TikTok вредоносной ссылки, которая при нажатии получала токены аутентификации, которые нужны серверам TikTok, чтобы пользователи могли подтвердить право собственности на свою учетную запись. Ссылка PoC также изменила биографию профиля целевого пользователя, чтобы отобразить текст «!!НАРУШЕНИЕ БЕЗОПАСНОСТИ!!»
"После того, как целевой пользователь TikTok нажимает на специально созданную вредоносную ссылку злоумышленника, сервер злоумышленника, https://www.attacker[.]com/poc, получает полный доступ к мосту JavaScript и может вызывать любые открытые функции, ", - написали исследователи. "Сервер злоумышленника возвращает HTML-страницу, содержащую код JavaScript, чтобы вернуть злоумышленнику токены загрузки видео и изменить биографию профиля пользователя".
Microsoft заявила, что у нее нет доказательств того, что уязвимость активно используется в реальных условиях.
Развернуть
Гетти Изображений
