Şimdiye kadar Google Play Store üzerinden 1,5 milyardan fazla kez yüklenen TikTok uygulamasının Android sürümündeki yüksek önemdeki bir kusur, tehdit aktörlerinin tek bir tıklamayla bir kullanıcının hesabını ele geçirmesine izin verebilir.
Microsoft, bir uygulama içindeki belirli bir bileşene bağlanan Android’deki belirli bir köprü türü olan Android için TikTok’un derin bağlantılarından birinin işlenmesindeki yüksek önemdeki güvenlik açığını keşfetti. Siber suçlular, bundan yararlanmak için, tıklandığında tam hesap erişimine izin verecek kötü niyetli bir bağlantı oluşturabilir.
olarak izlendi CVE-2022-28799Microsoft Security’ye göre kusur, saldırganların kullanıcıların TikTok profillerini değiştirmesine ve “özel videoları yayınlamak, mesaj göndermek ve kullanıcılar adına video yüklemek gibi” hassas bilgilere erişmesine izin verebilir. Blog yazısı Çarşamba günü yayınlandı.
Toplamda, bir istismar, bir saldırganın kullanıcıların TikTok profillerini değiştirmesi ve kullanıcıların farkında olmadan hassas bilgilere erişmesi için 70 yöntem ortaya çıkardığını söyledi.
Kaputun Altında: JavaScript’ten Yararlanma
Microsoft, CVE-2022-28799’un TikTok’un Android sürümünde bir derin bağlantıda bulunsa da, kusurdan yararlanmanın, uygulamanın WebView bileşeni tarafından sağlanan JavaScript arabirimlerini uygulamasına bağlı olduğunu söyledi.
WebView, uygulamaların web sayfalarını yüklemesine ve görüntülemesine izin verir ve “addJavascriptInterface” API çağrısını kullanarak, web sayfasındaki JavaScript kodunun uygulamadaki belirli bir sınıfın belirli Java yöntemlerini çağırmasına izin veren köprü işlevi de sağlayabilir.
WebView ile ilgili sorun, bir tehdit aktörü gibi birinin, JavaScript kodu aracılığıyla erişilebilen uygulama düzeyinde nesnelerle WebView’a güvenilmeyen web içeriğini yüklemesi durumunda, uygulamanın JavaScript arabirim enjeksiyonuna karşı savunmasız olmasıdır. Microsoft, bunun veri sızıntısına, veri bozulmasına veya bazı durumlarda rastgele kod yürütülmesine yol açabileceğini söyledi.
Gönderiye göre, “Android için TikTok, JavaScript arayüzlerini kapsamlı bir şekilde kullanarak uygulama içinde kullanılan WebView özelliklerini geliştiriyor”.
Microsoft araştırmacıları, TikTok’un Android sürümünde WebView’ü kullanan ve “bir köprünün sınıfları tarafından uygulanan her tür işlevselliğe erişimi olan bir JavaScript köprüsü kaydeden” “ilgi sınıfı” olarak adlandırdıkları şeyi keşfettiler. derin bağlantı güvenlik açığı, dediler.
Gönderiye göre, “Saldırganlar, derin bağlantıyı tetiklemek ve dışa aktarılmayan etkinlikleri çağırmak için bir sorgu parametresi aracılığıyla URL’leri uygulamanın çeşitli bileşenlerine yeniden yönlendirmek için bu güvenlik açığını kullanabilir ve uygulamanın saldırı yüzeyini genişletebilir.”
Kavram Kanıtı TikTok Saldırısı
Bir kavram kanıtı (PoC) açığında, Microsoft araştırmacıları uygulamayı rastgele bir URL (https://www.tiktok) yüklemeye zorlayabildiler.[.]com, bu durumda) uygulamanın WebView’a dediler.
Gönderiye göre, “Bu URL’yi ek sorgu parametreleriyle hazırlayarak, etkilenen köprü paketi tarafından uygulanan işlevselliğe tam erişim sağlayan bir JavaScript köprüsü örneğini enjekte etmek mümkün oldu”.
“Kısacası, kimliği doğrulanmış HTTP isteklerini gerçekleştirebilen yöntemlerden herhangi birini kontrol ederek, kötü niyetli bir aktör bir TikTok kullanıcı hesabını tehlikeye atmış olabilir.”
TikTok Uygulamasını Şimdi Düzeltin
Microsoft, sorumlu ifşa uygulamalarına göre TikTok’u kusur hakkında bilgilendirdi. TikTok, sunduğu Android uygulamasının her iki sürümüne de hızlı bir düzeltme yayınlayarak yanıt verdi – biri Doğu Asya ve Güneydoğu Asya için diğeri de etkilenen diğer tüm ülkeler için. Kullanıcılar kendilerini korumak için uygulamalarını en son sürüme güncellemelidir.
Geçmişte TikTok’u rahatsız eden sayısız gizlilik ve güvenlik sorunu göz önüne alındığında, hızlı yanıt dikkat çekicidir. Ancak, son yıllarda piyasaya sürülmesinden başlayarak hareketini temizliyor. bug-ödül programı 2020’de HackerOne aracılığıyla.
Şubat ayında, şirketin küresel güvenlik şefi Roland Cloutier, Dark Reading’e, TikTok’un milyarlarca kuruluş ve birey için hassas verilere ve içeriğe erişimi göz önüne alındığında, ileriye dönük bir güvenlik ve şeffaflık kültürü oluşturmayı taahhüt ettiğini söyledi.