В Android обнаружена уязвимость TikTok
Исследователи обнаружили критическую уязвимость в приложении TikTok для Android, которая позволяет хакерам удаленно взламывать учетные записи пользователей.
Об уязвимости CVE-2022-28799 сообщила компания ByteDance, принадлежащая Microsoft, в феврале 2022 года. Tiktok быстро устранил проблему.
По оценкам, приложение скачали около 1,5 миллиарда раз в Play Store, однако Microsoft добавила, что эта ошибка еще не использовалась в реальных условиях. Далее Microsoft пояснила:
«Уязвимость позволила обойти проверку приложения на глубинные ссылки. Злоумышленники могут заставить приложение загрузить произвольный URL-адрес в WebView приложения, что позволит URL-адресу затем получить доступ к подключенным мостам JavaScript WebView и предоставить злоумышленникам функциональные возможности».
Microsoft также выявила более 70 открытых методов JavaScript, которые могут быть использованы для предоставления злоумышленникам функциональности в сочетании с эксплойтом для взлома WebView, таким как ошибка TikTok.
Если бы злоумышленник сделал это, он мог бы получить токены аутентификации пользователя, инициировав запрос к контролируемому серверу и зарегистрировав файл cookie и заголовки запроса.
Они также смогут получать или изменять данные учетной записи пользователя TikTok, инициируя запрос к конечной точке приложения и получая ответ с помощью обратного вызова JavaScript.
В своем пояснении концепции компания Microsoft написала:
«После того, как целевой пользователь TikTok щелкнет специально созданную вредоносную ссылку злоумышленника, сервер получит полный доступ к мосту JavaScript и сможет вызывать любые открытые функции.
Далее сервер злоумышленника возвращает HTML-страницу, содержащую код JavaScript, чтобы отправить злоумышленнику токены загрузки видео, а также изменить биографию профиля пользователя».
Злоумышленники могли, имея полный контроль над учетными записями пользователей, изменять данные профиля жертвы, отправлять сообщения, публиковать частные видео и загружать контент.
Это произошло вскоре после того, как в США возникли опасения по поводу защиты пользовательских данных от китайских сотрудников в июле.
