Microsoft заявила, що нещодавно виявила вразливість у додатку TikTok для Android, яка дозволяє шахраям захопити облікові записи користувачів при переході за спеціальним посиланням. Китайська компанія виправила вразливість, яка відстежується як CVE-2022-28799.
Вразливість полягала в тому, як програма перевіряла так звані “глибокі посилання”, які є специфічними для Android гіперпосиланнями для доступу до окремих компонентів у мобільному додатку. Наприклад, якщо хтось натискає на характерне посилання в браузері, його вміст автоматично відкривається в програмі TikTok.
Програма також може криптографічно декларувати достовірність домену URL. TikTok на Android, наприклад, задекларує домен m.tiktok.com. Зазвичай програма TikTok дозволяє завантаження контенту із сайту tiktok.com у свій компонент WebView, але забороняє WebView завантажувати контент із інших доменів.
“Уразливість дозволяла обійти перевірку глибоких посилань у додатку”, – пишуть дослідники. “Зловмисники могли змусити програму завантажити довільну URL-адресу в WebView програми, що дозволяло URL отримати доступ до підключених JavaScript-мостів WebView і надати функціональність зловмисникам”.
Дослідники створили пробний варіант експлойту, який саме це робив. Він полягав у надсиланні цільовому користувачеві TikTok шкідливого посилання, яке при натисканні отримувало токени автентифікації, які сервери TikTok вимагають від користувачів для підтвердження володіння їх обліковим записом.
Microsoft заявила, що вона не має доказів того, що вразливість активно експлуатується зловмисниками.
Рассказываем, что изменится для части украинцев уже меньше чем через две недели. Один из видов…
Розповідаємо, що зміниться для частини українців вже менше ніж за два тижні. Один з видів…
Представьте, вы подключили к смартфону зарядное устройство, но гаджет не заряжается. Что будете делать в…
Уявіть, ви підключили до смартфона зарядний пристрій, але гаджет не заряджається. Що робитимете в першу…
Украинцам объяснили, почему не стоит встраивать микроволновую печь в шкаф. Популярное дизайнерское решение может создать…
Українцям пояснили, чому не варто вбудовувати мікрохвильову піч в шафу. Популярне дизайнерське рішення може створити…