Obrazy Getty
Microsoft poinformował w środę, że niedawno zidentyfikował lukę w aplikacji TikTok na Androida, która może umożliwić atakującym przejęcie kont, gdy użytkownicy nie zrobią nic poza kliknięciem jednego błędnego łącza. Producent oprogramowania poinformował, że powiadomił TikTok o luce w lutym i że chińska firma zajmująca się mediami społecznościowymi naprawiła usterkę, która jest śledzona jako CVE-2022-28799.
Luka polega na tym, jak aplikacja sprawdza tak zwane głębokie linki, które są hiperłączami specyficznymi dla systemu Android, aby uzyskać dostęp do poszczególnych komponentów aplikacji mobilnej. Głębokie linki muszą być zadeklarowane w manifeście aplikacji do użytku poza aplikacją, więc na przykład osoba, która kliknie link TikTok w przeglądarce, automatycznie otwiera treść w aplikacji TikTok.
Aplikacja może również w sposób zaszyfrowany ogłaszać ważność domeny adresu URL. Na przykład TikTok na Androida reklamuje domenę m.tiktok.com. Zwykle TikTok zezwala na ładowanie treści z tiktok.com do swojego komponentu WebView, ale uniemożliwia WebView ładowanie treści z innych domen.
„Luka umożliwiła ominięcie weryfikacji głębokich linków w aplikacji” – napisali badacze. „Atakujący mogą zmusić aplikację do załadowania losowego adresu URL do WebView aplikacji, który następnie umożliwia adresowi URL dostęp do mostków JavaScript dołączonych do WebView i zapewnia funkcjonalność atakującym”.
Badacze kontynuowali tworzenie exploita sprawdzającego koncepcję, który właśnie to zrobił. Polegało to na wysłaniu złośliwego linku do docelowego użytkownika TikTok, który po kliknięciu uzyskiwał kody uwierzytelniające wymagane przez serwery TikTok, aby użytkownicy mogli zweryfikować własność swojego konta. Linker PoC zmienił również biografię profilu użytkownika docelowego, wyświetlając tekst „!! NARUSZENIE BEZPIECZEŃSTWA!!”
Po kliknięciu złośliwego łącza zaprojektowanego specjalnie dla atakującego przez docelowego użytkownika TikTok, serwer atakującego, https://www.attacker[.]com/poc ma pełny dostęp do mostka JavaScript i może wywołać dowolną ujawnioną funkcję” – napisali naukowcy. Serwer atakującego zwraca stronę HTML zawierającą kod JavaScript, aby wysłać kody przesyłania wideo do atakującego, a także zmienić biografię”.
Microsoft powiedział, że nie ma dowodów na to, że luka była aktywnie wykorzystywana na wolności.
„Muzyk. Guru kawy. Specjalista od zombie. Adwokat mediów społecznościowych. Introwertyk. Ekstremalny miłośnik jedzenia. Ewangelista alkoholu”.