Microsoft dedi ki 31 Ağustos’ta, TikTok’un Android uygulamasında, kullanıcılar tek bir hatalı bağlantıya tıklamaktan başka bir şey yapmadığında saldırganların hesapları ele geçirmesine izin verebilecek bir güvenlik açığı tespit etti. Yazılım üreticisi, TikTok’u Şubat ayında güvenlik açığından haberdar ettiğini ve Çin merkezli sosyal medya şirketinin o zamandan beri CVE-2022-28799 olarak izlenen hatayı düzelttiğini söyledi.
Güvenlik açığı, uygulamanın, bir mobil uygulama içindeki ayrı bileşenlere erişmek için Android’e özgü köprüler olan derin bağlantılar olarak bilinenleri doğrulama biçiminde yatıyordu. Derin bağlantılar, uygulamanın dışında kullanım için bir uygulamanın bildiriminde bildirilmelidir; bu nedenle, örneğin, bir tarayıcıda bir TikTok bağlantısını tıklayan biri, içeriği TikTok uygulamasında otomatik olarak açar.
Bir uygulama, bir URL etki alanının geçerliliğini kriptografik olarak da bildirebilir. Örneğin Android’deki TikTok, m.tiktok.com alan adını ilan eder. Normalde TikTok uygulaması, tiktok.com’dan gelen içeriğin WebView bileşenine yüklenmesine izin verir, ancak WebView’ün diğer etki alanlarından içerik yüklemesini yasaklar.
Araştırmacılar, “Güvenlik açığı, uygulamanın derin bağlantı doğrulamasının atlanmasına izin verdi” diye yazdı. “Saldırganlar, uygulamayı uygulamanın Web Görünümüne rastgele bir URL yüklemeye zorlayabilir ve URL’nin daha sonra Web Görünümü’nün ekli JavaScript köprülerine erişmesine ve saldırganlara işlevsellik vermesine izin verebilir.”
Araştırmacılar, tam da bunu yapan bir kavram kanıtı istismarı yaratmaya devam ettiler. Hedeflenen bir TikTok kullanıcısına, tıklandığında, kullanıcıların hesaplarının sahipliğini kanıtlamaları için TikTok sunucularının ihtiyaç duyduğu kimlik doğrulama belirteçlerini alan kötü niyetli bir bağlantı göndermeyi içeriyordu. Bağlantı ayrıca “!! GÜVENLİK İHLALİ !!” metnini görüntülemek için hedeflenen kullanıcının profil biyografisini değiştirdi.
“Saldırganın özel olarak hazırlanmış kötü amaçlı bağlantısı, hedeflenen TikTok kullanıcısı tarafından tıklandığında, saldırganın sunucusu, https://www.attacker[.]com/poc, JavaScript köprüsüne tam erişim iznine sahiptir ve açıkta kalan herhangi bir işlevi çalıştırabilir, ”diye yazdı araştırmacılar. “Saldırganın sunucusu, video yükleme belirteçlerini saldırgana geri göndermek ve kullanıcının profil biyografisini değiştirmek için JavaScript kodunu içeren bir HTML sayfası döndürür.”
Microsoft, güvenlik açığının vahşi doğada aktif olarak istismar edildiğine dair hiçbir kanıtı olmadığını söyledi.
Bu hikaye başlangıçta ortaya çıktı Ars Teknik.