Microsoft обнаружила уязвимость в TikTok, которая позволяла проводить сверку аккаунтов в один клик
В среду Microsoft заявила, что недавно обнаружила уязвимость в приложении TikTok для Android, которая может позволить злоумышленникам захватить учетные записи, когда пользователи ничего не делают, кроме как нажимают одну неправильную ссылку. Производитель программного обеспечения заявил, что уведомил TikTok об уязвимости в феврале и что с тех пор китайская социальная сеть устранила уязвимость, которая отслеживается как CVE-2022-28799.
Уязвимость заключается в том, как приложение проверяет так называемые глубокие ссылки, которые представляют собой специфичные для Android гиперссылки для доступа к отдельным компонентам в мобильном приложении. Глубокие ссылки должны быть объявлены в манифесте приложения для использования вне приложения, поэтому, например, человек, который щелкает ссылку TikTok в браузере, автоматически открывает контент в приложении TikTok.
Приложение также может зашифрованно объявить о действительности домена URL. Например, TikTok на Android рекламирует домен m.tiktok.com. Обычно TikTok позволяет загружать контент с tiktok.com в свой компонент WebView, но запрещает WebView загружать контент из других доменов.
«Уязвимость позволила обойти проверку внутренних ссылок приложения», — пишут исследователи. «Злоумышленники могут заставить приложение загрузить случайный URL-адрес в WebView приложения, что затем позволит URL-адресу получить доступ к мостам JavaScript, подключенным к WebView, и предоставить злоумышленникам функциональные возможности».
Исследователи продолжали создавать экспериментальный эксплойт, который делал именно это. Это включало отправку вредоносной ссылки целевому пользователю TikTok, который при нажатии получал коды аутентификации, которые серверы TikTok требуют от пользователей для подтверждения права собственности на свою учетную запись. Компоновщик PoC также изменил биографию профиля целевого пользователя, чтобы отобразить текст «!! НАРУШЕНИЕ БЕЗОПАСНОСТИ!!»
Как только целевой пользователь TikTok щелкнет вредоносную ссылку, разработанную специально для злоумышленника, сервер злоумышленника, https://www.attacker[.]com/poc, получает полный доступ к мосту JavaScript и может вызывать любую открытую функцию», — пишут исследователи. Сервер злоумышленника отображает HTML-страницу, содержащую код JavaScript, чтобы отправить коды загрузки видео злоумышленнику, а также изменить его биографию».
Microsoft заявила, что у нее нет доказательств того, что уязвимость активно использовалась в реальных условиях.
«Профессиональный интернет-практик. Знаток путешествий. Гордый исследователь. Главный зомби-первопроходец».