Microsoft шпионит за взломом аккаунта в один клик в приложении TikTok для Android

Майкрософт шпионит за тиктоком по захвату аккаунта с помощью одного лизка

В новом отчете Microsoft подробно описывается уязвимость в приложении TikTok для Android, которую злоумышленники могли использовать для захвата учетных записей пользователей одним щелчком мыши. Уязвимость появилась в Национальной базе данных уязвимостей с идентификатором Common Vulnerabilities and Exposures (CVE) CVE-2022-28799 и высоким рейтингом серьезности 8,8 из 10. Уязвимость затронула обе версии приложения для Android, одна из которых специфична для Восточная и Юго-Восточная Азия. Это потенциально подвергает более 1,5 миллиарда пользователей риску взлома учетных записей.

Исследователи безопасности Microsoft обнаружили и проанализировали уязвимость, а затем в феврале этого года поделились своим исследованием с TikTok. Хотя у TikTok могут быть сомнительные пользовательские данные практики, в интересах платформы социальных сетей защищать учетные записи пользователей от несанкционированного доступа. По словам Microsoft, у социальной сети было быстрое время ответа. Компания выпустила исправление уязвимости менее чем через месяц после получения уведомления. Microsoft ждала до сих пор, чтобы публично раскрыть уязвимость, чтобы у пользователей TikTok было время обновить приложение для Android. Уязвимость затронула версии приложения до 23.7.3, а последняя версия приложения, выпущенная сегодня, — 25.9.4.

скомпрометированная учетная запись tiktok, отображающая новости о нарушении безопасности
Скомпрометированная учетная запись TikTok с измененной биографией профиля (источник: Microsoft )

Microsoft обнаружила уязвимость в обработке TikTok глубоких ссылок Android. Глубокие ссылки — это ссылки, которые операционная система открывает в определенном назначенном приложении, а не в веб-браузере, и может указать приложению выполнить определенное действие. Исследователям удалось создать специальную глубокую ссылку, которая предоставила серверу злоумышленника полный доступ к мосту JavaScript приложения TikTok. Затем сервер использует этот доступ для загрузки пользовательского сценария, который крадет токены аутентификации пользователя и изменяет биографию профиля пользователя.

На изображении выше показан профиль пользователя с измененной этим методом биографией на «!! НАРУШЕНИЕ БЕЗОПАСНОСТИ !!!» Однако злоумышленник мог не только изменить биографию профиля, но и использовать украденные токены для загрузки видео, публикации личных видео и отправки сообщений. Злоумышленник, вооруженный этим эксплойтом, мог нанести ущерб ничего не подозревающим пользователям, просто открывшим ссылку. К счастью, пользователям TikTok не нужно беспокоиться об этой уязвимости, пока они применяют обновления.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал