Video paylaşım sosyal medya platformu TikTok, uygulamasında kötü niyetli bir aktörün mobil ve masaüstü cihazlarda kullanıcı etkinliğini görüntülemesine ve izlemesine izin verebilecek potansiyel olarak tehlikeli bir güvenlik açığını giderdi.
Araştırmacı Ron Masas, veri koruma teklifleri tedarikçisi olan Imperva’da çalışan kırmızı ekip çalışanları tarafından keşfedilen hatanın, saldırganların hassas kullanıcı bilgilerine erişmesine izin veren mesajların kaynağını doğru bir şekilde doğrulamayan bir pencere mesajı olay işleyicisinden kaynaklandığını açıkladı.
“Son yıllarda, geliştiricilerin çeşitli API’lerden yararlanmasıyla web uygulamaları giderek daha karmaşık hale geldi. [application programming interfaces] ve işlevselliği ve kullanıcı deneyimini geliştirmek için iletişim mekanizmaları” dedi.
“Dikkatimizi çeken bir alan, mesaj olay işleyicileridir. Deneyimlerimize dayanarak, bu işleyiciler, dış kaynaklardan gelen girdileri yönetiyor olsalar bile, genellikle olası güvenlik açıkları kaynakları olarak göz ardı ediliyor.”
Bu örnekte, sorun PostMessage veya HTML5 Web Messaging API’sinde yatıyordu. Bu, farklı pencerelerin veya iframe’lerin bir web uygulaması içinde kaynaklar arası iletişimi güvenli bir şekilde yürütmesini sağlayan bir iletişim mekanizmasıdır.
Bu, farklı kaynaklardan gelen komut dosyalarının, farklı kaynaklar arasında veri paylaşımını sınırlayan Aynı Kaynak İlkeleri tarafından uygulanan kısıtlamaların üstesinden gelmek için mesaj alışverişinde bulunmasına olanak tanır.
Masas ve ekibi, TikTok’un kullanıcı takibi için kullanılan web uygulamasında, bir istemci tarafı önbelleğe alma sistemi için belirli gelen mesajları işlemek için kullanılan bir mesaj olay işleyicisini içeren bir komut dosyası buldu.
Ancak, bu mesaj olay işleyicisinin gelen mesajların kaynağını doğru bir şekilde doğrulamadığını, yani tehdit aktörleri tarafından sömürüye açık olabileceğini gördüler. Ayrıca işleyicinin bu mesajlara yanıt olarak hassas kullanıcı bilgilerini geri gönderdiğini buldular.
Masas, “Bu güvenlik açığından yararlanan saldırganlar, güvenlik önlemlerini atlayarak PostMessage API aracılığıyla TikTok web uygulamasına kötü amaçlı mesajlar gönderebilir” dedi.
“Mesaj olay işleyicisi daha sonra kötü niyetli mesajı güvenilir bir kaynaktan geliyormuş gibi işleyerek saldırganın hassas kullanıcı bilgilerine erişmesine izin verir.”
Bu yöntemle ifşa edilen veriler, mağdurun cihazına ilişkin cihaz türü, işletim sistemi ve tarayıcı ayrıntıları gibi bilgileri içerebilir; hangi videoları ve ne kadar süreyle izlediklerini; kullanıcı adı, yüklenen videolar ve diğer ayrıntılar dahil olmak üzere hesap bilgileri; ve TikTok’a girdikleri arama sorguları.
Bu bilgiler, hedefli kimlik avı saldırıları, kimlik hırsızlığı ve hatta şantaj gibi amaçlar için kullanılmış olabilir ve bu nedenle güvenlik açığı, bir siber suçlu için son derece değerli olabilir.
“Imperva Red Ekibi, TikTok’a güvenlik açığını bildirdi ve güvenlik açığı derhal giderildi. Hızlı yanıtları ve işbirlikleri için TikTok’a teşekkür ederiz.” dedi Masas. “TikTok’u kullanıcıları için daha güvenli bir platform haline getirmeye yardımcı olmak için TikTok güvenlik ekibiyle birlikte çalışmak bir ayrıcalıktı.
“Bu açıklama, uygun mesaj kaynağı doğrulamasının önemini ve uygun güvenlik önlemleri olmadan alanlar arasında iletişime izin vermenin potansiyel risklerini hatırlatıyor” diye ekledi.
Devam eden endişeler
Güvenlik açığı, görünüşe göre herhangi bir olay olmadan giderilmiş olsa da, sorun, TikTok’un dünya çapında daha fazla incelenmesine neden olan ve hatta hizmetin resmi Birleşik Krallık hükümetinde yasaklanmasına yol açan uzun bir veri gizliliği endişeleri dizisinin en sonuncusu. cihazlar ve diğer ülkelerdeki benzer eylemler.
Bu gizlilik endişelerinin çoğu TikTok’un ana kuruluşu ByteDance ile otoriter Çin hükümeti arasındaki sözde bağlantılarla ilgili olsa da, hizmette siber suçluların işine yarayabilecek bir güvenlik açığı ilk kez ifşa edilmiyor.
Geçen sonbaharda Microsoft, CVE-2022-28799 olarak izlenen ve tehdit aktörlerinin hesapları ele geçirmesine, özel TikTok’ları görüntülemesine ve yayınlamasına, mesajlar göndermesine ve yeni içerik yüklemesine olanak sağlayabilecek bir güvenlik açığını vurguladı.
Bu güvenlik açığı, TiKTok’un Android uygulamasının belirli bir tür köprüyü ele alma biçiminde mevcuttu ve Microsoft’un araştırma ekibinin bağlantı doğrulama mekanizmasını atlamasına ve TikTok’taki uygulama içi tarayıcıyı çalıştıran WebView bileşenine kötü niyetli bir bağlantıyı gizlice sokmasına olanak tanıyordu.
Microsoft, CVE-2022-28799’un istismar edildiğine dair hiçbir kanıt ortaya çıkarmadı.