Araştırmacılar, TikTok Android uygulamasında bilgisayar korsanlarının kullanıcı hesaplarını uzaktan ele geçirmesine izin verebilecek kritik bir güvenlik açığı keşfetti.
Güvenlik açığı, CVE-2022-28799, Şubat 2022’de Microsoft’a ait ByteDance şirketine bildirildi. Tiktok sorunu hızla düzeltti. Uygulamanın Play Store’da yaklaşık 1,5 milyar indirmeye sahip olduğu tahmin ediliyor, ancak Microsoft, hatanın henüz vahşi ortamda kullanılmadığını ekledi.
Microsoft ayrıca şunları açıkladı: “Açıklık, uygulamanın derin bağlantı doğrulamasının atlanmasına izin verdi. Saldırganlar, uygulamayı uygulamanın Web Görünümüne rastgele bir URL yüklemeye zorlayarak URL’nin daha sonra Web Görünümü’nün ekli JavaScript köprülerine erişmesine ve saldırganlara işlevsellik vermesine izin verebilir.”
Microsoft ayrıca, TikTok hatası gibi WebView’i ele geçirmek için bir istismarla eşleştirilirse, saldırganlara işlevsellik vermek için kullanılabilecek 70’ten fazla açık JavaScript yöntemi belirledi.
Bir saldırgan bunu yaptıysa, kontrollü bir sunucuya bir istek tetikleyerek ve tanımlama bilgisini ve istek başlıklarını günlüğe kaydederek kullanıcının kimlik doğrulama belirteçlerini alabilir. Ayrıca, uygulamanın uç noktasına bir istek tetikleyerek ve JavaScript geri arama yoluyla yanıtı alarak kullanıcının TikTok hesap verilerini alabilir veya değiştirebilirler.
Microsoft, kavram kanıtlarında şunları yazdı: “Saldırganın özel olarak hazırlanmış kötü amaçlı bağlantısı, hedeflenen TikTok kullanıcısı tarafından tıklandığında, saldırganın sunucusuna JavaScript köprüsüne tam erişim verilir ve açıkta kalan herhangi bir işlevi başlatabilir.”
“Saldırganın sunucusu, video yükleme belirteçlerini saldırgana geri göndermek ve kullanıcının profil biyografisini değiştirmek için JavaScript kodunu içeren bir HTML sayfası döndürür.”
Saldırganlar, kullanıcıların hesapları üzerinde tam kontrole sahip olarak, kurbanın profil ayrıntılarını değiştirebilir, mesaj gönderebilir, özel videolar yayınlayabilir ve içerik yükleyebilir.
Bu, ABD’de Temmuz ayında Çinli personelden gelen kullanıcı verilerinin korunması konusundaki endişelerden kısa bir süre sonra geldi.