Уязвимость TikTok могла позволить угонщикам захватить аккаунты

Мы рассмотрим эксплойт TikTok, обнаруженный Microsoft и переданный гиганту социальных сетей для исправления.

Microsoft выпустила подробное изложение исправленной проблемы, которая была потенциально опасен для пользователей TikTok. Проблема, отмеченная Microsoft как «серьезная уязвимость», потребовала нескольких последовательных шагов, чтобы работать. Злоумышленники, использующие его, могли скомпрометировать учетные записи одним щелчком мыши.

Оттуда применяются стандартные правила взаимодействия со скомпрометированными учетными записями. Отправка сообщений, загрузка контента, проверка конфиденциальной информации или просмотр частных видео; все это и многое другое было бы возможно. Хуже того, Microsoft определила, что обе версии приложения TikTok для Android уязвимы для этой проблемы. Всего установлено около 1,5 миллиарда установок, поэтому TikTok получил известие об уязвимости в феврале этого года, и теперь она исправлена.

Давай посмотрим?

Что такое диплинк?

Чтобы предотвратить возможную путаницу, диплинки совершенно не связаны с дипфейками.

Эта проблема связана с проверкой глубоких ссылок TikTok. Эти глубокие ссылки могут заставить URL работать по-разному. Как Engadget объясняетвстраивание Twitter в Chrome Mobile, которое открывает приложение Twitter, является примером того, как это работает на практике.

Что-то пойдет не так, когда кто-то найдет способ обойти эту проверку на глубинные ссылки и заставить URL-адреса вести себя неожиданным образом. Как оказалось, наш старый друг JavaScript — это первый шаг в цепочке успеха.

Опасности внедрения интерфейса JavaScript

Эксплуатация зависела от того, как приложение реализовало интерфейсы JavaScript, предоставляемые чем-то под названием WebView в операционной системе Android, которое используется для загрузки и отображения веб-страниц. Ненадежный контент, загруженный в WebView, сделал приложение уязвимым для того, что называется внедрением интерфейса JavaScript. Это может привести к повреждению данных, утечке и даже выполнению произвольного кода.

Microsoft обнаружила, что несколько из этих связанных друг с другом проблем, связанных с обработкой конкретной прямой ссылки, могут вызвать загрузку произвольных ULR в WebView приложения.

Исправленный эксплойт теперь живет только как CVE-2022-28799:

Приложение TikTok до версии 23.7.3 для Android допускает захват учетной записи. Созданный URL-адрес (непроверенная ссылка на контент) может заставить веб-представление com.zhiliaoapp.musically загрузить произвольный веб-сайт. Это может позволить злоумышленнику использовать подключенный интерфейс JavaScript для захвата одним щелчком мыши.

Исправления и предложения

У Microsoft есть следующие советы для разработчиков приложений, которым необходимо работать с интерфейсами JavaScript:

  • Используйте браузер по умолчанию, чтобы открывать URL-адреса, не принадлежащие к одобренному списку приложения.

  • Поддерживайте список утвержденных в актуальном состоянии и отслеживайте даты истечения срока действия включенных доменов. Это может помешать злоумышленникам перехватить WebView, заявив просроченный домен в списке разрешенных.

  • Избегайте использования методов частичного сравнения строк для сравнения и проверки URL-адреса с утвержденным списком доверенных доменов.

  • Не добавляйте домены сцены или внутренней сети в одобренный список, так как злоумышленник может подделать эти домены для захвата WebView.

Важно отметить, что Microsoft не видела никаких доказательств того, что это использовалось в дикой природе. Пользователям не нужно паниковать по поводу этого конкретного эксплойта. Для пользователей TikTok существует множество угроз, таких как фишинг и социальная инженерия. Впрочем, это можно отложить в сторону высокотехнологичный “близко, но не сигара”.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.