“Microsoft” bir kliklə hesabın pozulmasına imkan verən TikTok boşluğunu aşkar edib

✔️ 2022-09-01 02:18:47 – Paris/Fransa.

Getty Images

Microsoft çərşənbə günü bildirib ki, bu yaxınlarda TikTok-un Android proqramında istifadəçilər bir səhv linki kliklədikdə, təcavüzkarlara hesabları oğurlamağa imkan verə biləcək bir boşluq aşkarlayıb. Proqram istehsalçısı, TikTok-u fevral ayında zəiflik barədə məlumatlandırdığını və Çində yerləşən sosial media şirkəti CVE-2022-28799 olaraq təyin olunan qüsuru aradan qaldırdığını söylədi.

Zəiflik proqramın mobil proqram daxilində fərdi komponentlərə daxil olmaq üçün Android-ə xas hiperlinklər olan dərin bağlantılar adlanan bağlantıları yoxlaması ilə bağlı idi. Dərin bağlantılar proqramdan kənar istifadə üçün tətbiqin manifestində elan edilməlidir. Beləliklə, məsələn, brauzerdə TikTok keçidini klikləyən şəxs TikTok tətbiqində avtomatik olaraq açılan məzmunu görür.

Tətbiq həmçinin URL domeninin etibarlılığını kriptoqrafik olaraq elan edə bilər. Məsələn, Android-də TikTok m.tiktok.com domenini elan edir. Normalda, TikTok proqramı WebView komponentində tiktok.com-dan məzmun yükləməyə imkan verir, lakin WebView-ə digər domenlərdən məzmun yükləməyə icazə vermir.

Reklam

Tədqiqatçılar yazır ki, "boşluq tətbiqin dərin keçid yoxlamasından yan keçməyə imkan verdi". “Hücumçular tətbiqi tətbiqin Veb Görünüşünə ixtiyari URL yükləməyə məcbur edə bilər ki, bu da URL-in daha sonra WebView-ə əlavə edilmiş JavaScript körpülərinə daxil olmasına və təcavüzkarlara funksionallıq verməyə imkan verə bilər. »

Tədqiqatçılar daha sonra məhz bunu edən konsepsiya sübutu istismarı yaratdılar. Bu, hədəflənmiş TikTok istifadəçisinə, kliklədikdə, TikTok serverlərinin istifadəçilərin hesablarının sahibliyini sübut etməsi üçün lazım olan autentifikasiya nişanlarını əldə edən zərərli linkin göndərilməsini əhatə edirdi. PoC linki, həmçinin mətni göstərmək üçün hədəf istifadəçinin profil biosunu dəyişdirdi. TƏHLÜKƏSİZLİK POZUNU!! »

“Hədəflənən TikTok istifadəçisi təcavüzkarın xüsusi hazırlanmış zərərli linkinə klik etdikdən sonra, təcavüzkarın serveri https://www.attacker[.]com/poc JavaScript körpüsünə tam giriş imkanı əldə edir və hər hansı ifşa olunmuş funksionallığı işə sala bilər”. tədqiqatçılar yazırdılar. “Təcavüzkarın serveri video yükləmə nişanlarını təcavüzkara qaytarmaq və istifadəçini dəyişdirmək üçün JavaScript kodu olan HTML səhifəsini qaytarır. profil tərcümeyi-halı. »

Microsoft, zəifliyin vəhşi təbiətdə aktiv şəkildə istifadə edildiyinə dair heç bir sübut olmadığını söylədi.

KAYNAK: Xəbərlər

Bizə möhkəm təkan vermək üçün məqaləmizi sosial şəbəkələrdə paylaşmaqdan çəkinməyin. 🤗