Geçen Şubat ayında Microsoft araştırmacıları, TikTok’un Android uygulamasında bir güvenlik açığı keşfetti. Bu, kullanıcı bir bağlantıyı tıkladıktan sonra bir saldırganın bir kullanıcının hesabını ele geçirmesine izin verebilirdi.
Neyse ki, TikTok’un ana şirketi ByteDance’deki geliştiriciler, varlığından haberdar olduktan sonra güvenlik açığını hızla düzeltti. Microsoft 365 Defender Araştırma Ekibi araştırmacısı Dimitrios Valsamaras’a göre, Microsoft araştırmacıları geçen Şubat ayında hata ödül programı aracılığıyla bunu bildirdi.
Güvenlik açığı artık adlandırılıyor CVE-2022-28799. Artık bir düzeltme mevcut olduğuna göre Microsoft, Android’deki tüm TikTok kullanıcılarını uygulamalarını en son sürüme güncellemeye çağırıyor.
Tüm dünyada savunmasız
Bu, uygulamanın Google Play Store’dan 1,5 milyar kez indirilen TikTok Android uygulamasının bir WebView bileşeni aracılığıyla kullanılabilecek, uygulamanın açıkta kalan JavaScript arayüzündeki kötü bir kusurdur. Web Görünümü Java ve Kotlin programlama dillerinde yazılmış, Java ile uyumlu Android uygulamalarının web içeriğini görüntülemesine izin veren bir Android bileşenidir.
“23.7.3 sürümünden önce, Android için TikTok uygulaması, [à un attaquant] bir hesabın kontrolünü ele geçirmek için. (…) Tek tıklamayla devralma için ekli bir JavaScript arayüzünden yararlanabilir”, diyor veri sayfası. CVE-2022-28799.
İçinde bir blog yazısıDimitrios Valsamaras, Android’de TikTok uygulamasının iki sürümü olduğunu belirtiyor. Ay (paket adı ile com.ss.android.ugc.trill) Doğu ve Güneydoğu Asya için tasarlanmıştır ve diğeri (paket adı ile com.zhiliaoapp.musically) diğer bölgeler içindir. Her ikisi de bu güvenlik açığını içerir.
Güncelleme
“TikTok’un güvenlik ekibinin verimli ve profesyonel kararlılığını takdir ediyoruz. Dimitrios Valsamaras, TikTok kullanıcılarının uygulamanın en son sürümünü kullandıklarından emin olmaları için teşvik ediliyor” diye yazıyor.
Güvenlik açığı, TikTok geliştiricilerinin uygulamanın JavaScript arayüzlerini WebView’da uygulama biçiminden kaynaklanmaktadır. Arayüz “köprü işlevi” sağlayabilir, böylece bir web sayfasındaki JavaScript kodu, uygulamadaki belirli bir sınıfın belirli Java yöntemlerini çağırır.
“JavaScript kodu aracılığıyla erişilen uygulama düzeyinde nesnelerle WebView’a güvenilmeyen web içeriği yüklemek, uygulamayı JavaScript arabirim enjeksiyonuna karşı savunmasız hale getirir, bu da veri sızıntısına, verilerin bozulmasına veya bazı durumlarda rastgele kod yürütülmesine neden olabilir” diye açıklıyor. araştırmacı.
Android’e özel
Ancak, Dimitrios Valsamaras’a göre gerçek güvenlik açığı, TikTok uygulamasının Android’de belirli bir “derin bağlantıyı” işleme biçiminde yatmaktadır. Geliştiriciler, bir uygulamada seçilen bir bileşene erişmek için derin bağlantıları kullanabilir. Kullanıcılar bir derin bağlantıya tıkladığında, Android paket yöneticisi, derin bağlantıya hangisinin yanıt verebileceğini görmek için yüklü tüm uygulamaları kontrol eder ve ardından bunları, işleyicisi olarak beyan edilen şirkete yönlendirir.
TikTok’un uygulamada JavaScript arabirimlerini uygulaması, güvenlik açığının etkisini tanımladı.
“Uygulamanın belirli bir derin bağlantıyı ele alışını incelerken, birbirine zincirlendiğinde uygulamayı Web Görünümüne rastgele bir URL yüklemeye zorlamak için kullanılabilecek birkaç sorun keşfettik. araştırmacı yazıyor.
“70’den fazla yöntem açığa çıktı”
Microsoft, WebView’da yüklenen web sayfalarında JavaScript kodunun erişebildiği özellikleri kontrol ederek “70’den fazla açığa çıkan yöntem” buldu. Güvenlik açığının açığa çıkan yöntemlerle birleşimi, saldırganlara, kullanıcıların özel verilerini görüntülemek ve değiştirmek için ek işlevler verebilir.
Saldırgan, bu yöntemleri çağırarak, kontrollü bir sunucuya bir istek tetikleyerek ve istek tanımlama bilgisini ve başlıklarını kaydederek kullanıcının kimlik doğrulama belirteçlerini alabilir. Saldırgan ayrıca kullanıcının TikTok hesabından özel videolar ve profil ayarları gibi verileri alabilir veya değiştirebilir.
“Kısacası, kimliği doğrulanmış HTTP istekleri yapabilen yöntemlerden birini kontrol ederek, kötü niyetli bir oyuncu bir TikTok kullanıcı hesabını tehlikeye atmış olabilir” diye uyarıyor araştırmacı.
Kötü bir fikir
Microsoft daha genel olarak, geliştiricilerin JavaScript arayüzlerini kullanmalarının kötü bir fikir olduğuna ve önemli riskler oluşturduğuna inanmaktadır, çünkü bu arayüzden ödün vermek, saldırganların kullanıcının oturum açma bilgilerini ve ayrıcalıklarını kullanarak kod yürütmesine potansiyel olarak izin verebilir. Microsoft daha önce kusurları detaylandırdı birkaç popüler Android uygulamasındaki JavaScript arayüzlerinin neden olduğu.
Microsoft, geliştiricilerin bunun yerine “kötü amaçlı veya güvenilmeyen web içeriğinin yüklenmesini önlemek için uygulamanın Web Görünümü’ne yüklemek için onaylanmış bir güvenilir etki alanları listesi” kullanmasını önerir.
Google ayrıca bir sayfa yayınladı Android uygulama geliştiricilerinin JavaScript arayüzü ekleme güvenlik açıklarını ele alması için.
Kaynak : ZDNet.com