Серйозна вразливість у програмі TikTok для Android забезпечила хакерам доступ до мільйонів облікових записів
https://aiopentech.in/
Microsoft виявила серйозний експлойт в один клік у додатку TikTok для Android, який дозволяє зловмисникам віддалено захоплювати облікові записи користувачів.
Microsoft повідомила гіганту соціальних мереж про CVE-2022-28799 у лютому 2022 року, після чого TikTok оперативно усунув проблему. Microsoft заявила, що, незважаючи на те, що програма була завантажена з Play Store приблизно 1,5 мільярда разів, ця помилка не була використана в реальних умовах.
«Вразливість дозволила обійти перевірку додатку на глибинні посилання», – пояснили в Microsoft. «Зловмисники можуть змусити програму завантажити довільну URL-адресу в WebView програми, що дозволить URL-адресу потім отримати доступ до підключених міст JavaScript WebView і надати зловмисникам функціональні можливості».
Насправді Microsoft виявила понад 70 незахищених методів JavaScript, які в поєднанні з експлойтом для злому WebView, таким як виявлена помилка, можуть використовуватися для надання зловмисникам контролю над обліковим записом.
При цьому зловмисники можуть:
- Отримувати токени авторизації користувача, ініціювавши запит до контрольованого сервера та зареєструвавши файл cookie та заголовки запиту.
- Отримати або змінити дані облікового запису користувача TikTok, ініціювавши запит до кінцевої точки TikTok і отримавши відповідь за допомогою зворотного виклику JavaScript.
«Після того, як цільовий користувач TikTok клацне на спеціально створене шкідливе посилання, сервер зловмисника отримає повний доступ до мосту JavaScript і зможе викликати будь-які відкриті функції», – пише Microsoft у своєму доказі концепції.
«Сервер зловмисника повертає HTML-сторінку, що містить код JavaScript, щоб відправити зловмиснику токени завантаження відео, а також змінити біографію профілю користувача».
Маючи повний контроль над обліковими записами користувачів, зловмисники можуть змінювати дані їх профілю, надсилати повідомлення, завантажувати відео та навіть публікувати приватні відео. Microsoft рекомендує всім користувачам TikTok на Android завантажити останню версію програми якнайшвидше.
Раніше ми писали про групу хакерів «Білоруські кіберпартизани», яка отримала доступ до паспортних даних президента країни Олександра Лукашенка. Хлопці не розгубилися і спробували продати їх у вигляді колекційного токена (NFT).
ЧИТАЙТЕ ТАКОЖ:
- Google читає думки, а Instagram вгадує бажання. Що таке економіка уваги, і чи потрібно від неї захищатися
- Виявлено нове шкідливе програмне забезпечення, пов’язане з Google-таблицями
- Схема з виплатами: у клієнтів ПриватБанку викрали 36 млн гривень
