Злоумышленники похищают TikTok аккаунты в один клик

Чт 1 Сентябрь 2022 08:23

Уязвимость в приложении TikTok для Android была обнаружена исследователями из Microsoft еще в феврале, а совсем недавно компания подробно описала результаты своих исследований, подчеркнув что уязвимость могла позволить злоумышленникам похищать учетные записи пользователей одним кликом мыши.

CVE-2022-28799 затрагивала Android-приложение TikTok версий 23.7.3 и ниже, а для ее использования нужно было использовать несколько других уязвимостей. Чтобы получить полный доступ к аккаунту пользователя, хакерам достаточно было заставить пользователя нажать на специально сгенерированную ссылку. Получив доступ к аккаунту, злоумышленники получали возможность просматривать приватные видео, отправлять сообщения и загружать свои видео.

Как же эта уязвимость могла быть использована хакерами? По данным Microsoft, приложение TikTok для Android позволяет обойти проверку глубокой ссылки. В результате злоумышленники могут заставить приложение загрузить URL-адрес в компонент WebView приложения.

Страница, расположенная по загруженному URL-адресу, получает доступ к JavaScript-мостам WebView, что буквально развязывает руки хакерам, давая им 70 способов быстрого доступа к информации пользователя. Кроме того, злоумышленник мог получить токены аутентификации жертвы, отправив запрос к серверу, а затем записав cookie-файлы и заголовки запроса.

Эксперты рекомендуют пользователям не переходить по ссылкам из ненадежных источников и обновить приложение до последних версий как можно скорее.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 254 дня 13 часов 2 минуты 52 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.