Виявлена можливість зламування TikTok одним посиланням

Microsoft заявила, що нещодавно виявила вразливість у додатку TikTok для Android, яка дозволяє шахраям захопити облікові записи користувачів при переході за спеціальним посиланням. Китайська компанія виправила вразливість, яка відстежується як CVE-2022-28799.

Вразливість полягала в тому, як програма перевіряла так звані “глибокі посилання”, які є специфічними для Android гіперпосиланнями для доступу до окремих компонентів у мобільному додатку. Наприклад, якщо хтось натискає на характерне посилання в браузері, його вміст автоматично відкривається в програмі TikTok.

Програма також може криптографічно декларувати достовірність домену URL. TikTok на Android, наприклад, задекларує домен m.tiktok.com. Зазвичай програма TikTok дозволяє завантаження контенту із сайту tiktok.com у свій компонент WebView, але забороняє WebView завантажувати контент із інших доменів.

“Уразливість дозволяла обійти перевірку глибоких посилань у додатку”, – пишуть дослідники. “Зловмисники могли змусити програму завантажити довільну URL-адресу в WebView програми, що дозволяло URL отримати доступ до підключених JavaScript-мостів WebView і надати функціональність зловмисникам”.

Дослідники створили пробний варіант експлойту, який саме це робив. Він полягав у надсиланні цільовому користувачеві TikTok шкідливого посилання, яке при натисканні отримувало токени автентифікації, які сервери TikTok вимагають від користувачів для підтвердження володіння їх обліковим записом.

Microsoft заявила, що вона не має доказів того, що вразливість активно експлуатується зловмисниками.