close-btn

Microsoft обнаружила уязвимость в TikTok, которая позволяла взламывать учетные записи в один клик

Серьезная уязвимость в приложении TikTok для Android обеспечила хакерам доступ к миллионам учетных записей

https://aiopentech.in/

Microsoft обнаружила серьезный эксплойт в один клик в приложении TikTok для Android, который позволяет злоумышленникам удаленно захватывать учетные записи пользователей.

Microsoft сообщила гиганту социальных сетей о CVE-2022-28799 в феврале 2022 года, после чего TikTok оперативно устранил проблему. Microsoft заявила, что, несмотря на то, что приложение было загружено в Play Store примерно 1,5 миллиарда раз, данная ошибка не была использована в реальных условиях.

«Уязвимость позволила обойти проверку приложения на глубинные ссылки», — пояснили в Microsoft. «Злоумышленники могут заставить приложение загрузить произвольный URL-адрес в WebView приложения, что позволит URL-адресу затем получить доступ к подключенным мостам JavaScript WebView и предоставить злоумышленникам функциональные возможности».

На самом деле Microsoft выявила более 70 незащищенных методов JavaScript, которые в сочетании с эксплойтом для взлома WebView, таким как обнаруженная ошибка, могут использоваться для предоставления злоумышленникам контроля над учетной записью.

При этом злоумышленники могут:

  • Получать токены авторизации пользователя, инициировав запрос к контролируемому серверу и зарегистрировав файл cookie и заголовки запроса.
  • Получить или изменить данные учетной записи пользователя TikTok, инициировав запрос к конечной точке TikTok и получив ответ с помощью обратного вызова JavaScript.

«После того, как целевой пользователь TikTok щелкнет на специально созданную вредоносную ссылку, сервер злоумышленника получит полный доступ к мосту JavaScript и сможет вызывать любые открытые функции», — пишет Microsoft в своем доказательстве концепции.

«Сервер злоумышленника возвращает HTML-страницу, содержащую код JavaScript, чтобы отправить злоумышленнику токены загрузки видео, а также изменить биографию профиля пользователя».

Имея полный контроль над учетными записями пользователей, злоумышленники могут изменять данные их профиля, отправлять сообщения, загружать видео и даже публиковать частные видео.

Microsoft рекомендует всем пользователям TikTok на Android загрузить последнюю версию приложения как можно скорее.

Ранее мы писали про группу хакеров «Белорусские киберпартизаны», которая получила доступ к паспортным данным президента страны Александра Лукашенко. Ребята не растерялись и попытались продать их в виде коллекционного токена (NFT).

ЧИТАЙТЕ ТАКЖЕ: 

google news
credit link image
×
Подписывайтесь на нас в Telegram и Viber!