Microsoft vindt TikTok-kwetsbaarheid waardoor accounts met één klik kunnen worden gehackt

0
131


Microsoft vindt TikTok-kwetsbaarheid waardoor accounts met één klik kunnen worden gehackt

Getty Images

Microsoft zei woensdag dat het onlangs een kwetsbaarheid in TikTok’s Android-app heeft ontdekt waardoor aanvallers accounts kunnen kapen wanneer gebruikers niets anders deden dan op een enkele foutieve link te klikken. De softwaremaker zei dat hij TikTok in februari op de hoogte had gesteld van de kwetsbaarheid en dat het in China gevestigde socialemediabedrijf sindsdien de fout heeft verholpen, die wordt gevolgd als CVE-2022-28799.

Het beveiligingslek zat in hoe de app de zogenaamde deeplinks verifieerde, dit zijn Android-specifieke hyperlinks voor toegang tot afzonderlijke componenten binnen een mobiele app. Deeplinks moeten in het manifest van een app worden aangegeven voor gebruik buiten de app, zodat iemand die bijvoorbeeld op een TikTok-link in een browser klikt, de inhoud automatisch in de TikTok-app opent.

Een app kan ook cryptografisch de geldigheid van een URL-domein aangeven. TikTok op Android, bijvoorbeeld, verklaart het domein m.tiktok.com. Normaal gesproken staat de TikTok-app toe dat inhoud van tiktok.com in de WebView-component wordt geladen, maar verbiedt WebView het laden van inhoud van andere domeinen.

“Door de kwetsbaarheid kon de deeplink-verificatie van de app worden omzeild”, schreven de onderzoekers. “Aanvallers kunnen de app dwingen een willekeurige URL naar de WebView van de app te laden, waardoor de URL vervolgens toegang krijgt tot de bijgevoegde JavaScript-bridges van WebView en aanvallers functionaliteit verleent.”

De onderzoekers gingen verder met het maken van een proof-of-concept exploit die precies dat deed. Het ging om het sturen van een gerichte TikTok-gebruiker een kwaadaardige link die, wanneer erop werd geklikt, de authenticatietokens verkreeg die TikTok-servers nodig hebben om gebruikers het eigendom van hun account te laten bewijzen. De PoC-link veranderde ook de profielbio van de beoogde gebruiker om de tekst “!! SECURITY BREACH !!” weer te geven.

“Zodra op de speciaal vervaardigde kwaadaardige link van de aanvaller is geklikt door de beoogde TikTok-gebruiker, de server van de aanvaller, https://www.attacker[.]com/poc, krijgt volledige toegang tot de JavaScript-bridge en kan elke blootgestelde functionaliteit aanroepen”, schreven de onderzoekers. “De server van de aanvaller retourneert een HTML-pagina met JavaScript-code om video-uploadtokens terug te sturen naar de aanvaller en om de gebruikersgegevens te wijzigen. profielbiografie.”

Microsoft zei dat het geen bewijs heeft dat de kwetsbaarheid actief is misbruikt in het wild.

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in