В Android обнаружена уязвимость TikTok

Cloud Networks > Новости > В Android обнаружена уязвимость TikTok
11.09.2022

В Android обнаружена уязвимость TikTok

Исследователи обнаружили критическую уязвимость в приложении TikTok для Android, которая позволяет хакерам удаленно взламывать учетные записи пользователей.

Об уязвимости CVE-2022-28799 сообщила компания ByteDance, принадлежащая Microsoft, в феврале 2022 года. Tiktok быстро устранил проблему.

По оценкам, приложение скачали около 1,5 миллиарда раз в Play Store, однако Microsoft добавила, что эта ошибка еще не использовалась в реальных условиях. Далее Microsoft пояснила:

«Уязвимость позволила обойти проверку приложения на глубинные ссылки. Злоумышленники могут заставить приложение загрузить произвольный URL-адрес в WebView приложения, что позволит URL-адресу затем получить доступ к подключенным мостам JavaScript WebView и предоставить злоумышленникам функциональные возможности».

 

Microsoft также выявила более 70 открытых методов JavaScript, которые могут быть использованы для предоставления злоумышленникам функциональности в сочетании с эксплойтом для взлома WebView, таким как ошибка TikTok.

Если бы злоумышленник сделал это, он мог бы получить токены аутентификации пользователя, инициировав запрос к контролируемому серверу и зарегистрировав файл cookie и заголовки запроса.

Они также смогут получать или изменять данные учетной записи пользователя TikTok, инициируя запрос к конечной точке приложения и получая ответ с помощью обратного вызова JavaScript.

 

В своем пояснении концепции компания Microsoft написала:

«После того, как целевой пользователь TikTok щелкнет специально созданную вредоносную ссылку злоумышленника, сервер получит полный доступ к мосту JavaScript и сможет вызывать любые открытые функции.

Далее сервер злоумышленника возвращает HTML-страницу, содержащую код JavaScript, чтобы отправить злоумышленнику токены загрузки видео, а также изменить биографию профиля пользователя».

 

Злоумышленники могли, имея полный контроль над учетными записями пользователей, изменять данные профиля жертвы, отправлять сообщения, публиковать частные видео и загружать контент.

Это произошло вскоре после того, как в США возникли опасения по поводу защиты пользовательских данных от китайских сотрудников в июле.

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
to-top