Microsoft съобщи за уязвимост с висока степен на сериозност в приложението TikTok за Android, която може да позволи на нападателите да влязат в акаунти с едно кликване.
Приложението TikTok за Android имаше сериозен проблем със сигурността и Microsoft беше тази, която съобщи за него. Компанията наскоро представи констатациите за общността за киберсигурност, показвайки, че високата уязвимост може да е позволила на нападателите да компрометират акаунти с едно щракване. TikTok също беше уведомен за проблема от Microsoft и оттогава той беше коригиран.
Тази конкретна уязвимост повлия на TikTok на Android версия 23.7.3 и по-ниска, изискваше няколко проблема да бъдат свързани заедно, за да се експлоатират, и не беше използвана в дивата природа, според Microsoft. Това означава, че е вероятно никой да не е бил засегнат от него. Всъщност има две версии на TikTok за Android, една за Източна и Югоизточна Азия и друга за останалия свят. Microsoft извърши оценка на уязвимостта и установи, че и двете са засегнати, което означава, че уязвимостта е засегнала общо 1,5 милиарда инсталации.
С уязвимостта обаче хакерите биха могли да откраднат TikTok акаунт, базиран на Android, без потребителят да знае дали е кликнал само върху една връзка. Нападателят може да е влязъл в компрометирания профил в TikTok, позволявайки им да виждат лични видеоклипове, да изпращат съобщения или да качват видеоклипове.
И така, какви са спецификите за това как тази уязвимост може да бъде използвана от нападател? Е, според Microsoft приложението TikTok за Android е позволило проверката на дълбоката връзка на приложението да бъде заобиколена. Нападател може да е принудил приложението да зареди URL към WebView на приложението. След това това би позволило на страницата в този URL да получи достъп до JavaScript мостовете на WebView, за да даде на хакера повече функционалност и 70 начина за бърз достъп до информацията на потребителя. Нападателят може също така да извлече токените за удостоверяване на потребителя, като задейства заявка към контролиран сървър и регистрира бисквитката и заглавките на заявката.
Microsoft писа за този проблем с мостовете на JavaScript в миналото и запис в CVE е достъпен за повече подробности относно тази уязвимост на TikTok. Компанията съобщи за проблема чрез координирано разкриване на уязвимости (CVD) чрез Microsoft Security Vulnerability Research (MSVR) през февруари 2022 г. и беше коригиран от TikTok месец след разкриването. Microsoft смята, че тази ситуация показва колко важно е да се координират изследванията и разузнаването на заплахи в технологичната индустрия.
източник: Microsoft