Серьезная уязвимость в приложении TikTok для Android обеспечила хакерам доступ к миллионам учетных записей
Microsoft обнаружила серьезный эксплойт в один клик в приложении TikTok для Android, который позволяет злоумышленникам удаленно захватывать учетные записи пользователей.
Microsoft сообщила гиганту социальных сетей о CVE-2022-28799 в феврале 2022 года, после чего TikTok оперативно устранил проблему. Microsoft заявила, что, несмотря на то, что приложение было загружено в Play Store примерно 1,5 миллиарда раз, данная ошибка не была использована в реальных условиях.
«Уязвимость позволила обойти проверку приложения на глубинные ссылки», — пояснили в Microsoft. «Злоумышленники могут заставить приложение загрузить произвольный URL-адрес в WebView приложения, что позволит URL-адресу затем получить доступ к подключенным мостам JavaScript WebView и предоставить злоумышленникам функциональные возможности».
На самом деле Microsoft выявила более 70 незащищенных методов JavaScript, которые в сочетании с эксплойтом для взлома WebView, таким как обнаруженная ошибка, могут использоваться для предоставления злоумышленникам контроля над учетной записью.
При этом злоумышленники могут:
- Получать токены авторизации пользователя, инициировав запрос к контролируемому серверу и зарегистрировав файл cookie и заголовки запроса.
- Получить или изменить данные учетной записи пользователя TikTok, инициировав запрос к конечной точке TikTok и получив ответ с помощью обратного вызова JavaScript.
«После того, как целевой пользователь TikTok щелкнет на специально созданную вредоносную ссылку, сервер злоумышленника получит полный доступ к мосту JavaScript и сможет вызывать любые открытые функции», — пишет Microsoft в своем доказательстве концепции.
«Сервер злоумышленника возвращает HTML-страницу, содержащую код JavaScript, чтобы отправить злоумышленнику токены загрузки видео, а также изменить биографию профиля пользователя».
Имея полный контроль над учетными записями пользователей, злоумышленники могут изменять данные их профиля, отправлять сообщения, загружать видео и даже публиковать частные видео.
Microsoft рекомендует всем пользователям TikTok на Android загрузить последнюю версию приложения как можно скорее.
Ранее мы писали про группу хакеров «Белорусские киберпартизаны», которая получила доступ к паспортным данным президента страны Александра Лукашенко. Ребята не растерялись и попытались продать их в виде коллекционного токена (NFT).
ЧИТАЙТЕ ТАКЖЕ:
- Google читает мысли, а Instagram угадывает желания. Что такое экономика внимания, и нужно ли от нее защищаться
- Обнаружено новое вредоносное ПО, связанное с Google-таблицами
- Схема с выплатами: у клиентов ПриватБанка похитили 36 млн гривен