Microsoft zei op 31 augustus dat het onlangs een kwetsbaarheid in TikTok’s Android-app heeft ontdekt waardoor aanvallers accounts kunnen kapen wanneer gebruikers niets anders deden dan op een enkele foutieve link te klikken. De softwaremaker zei dat hij TikTok in februari op de hoogte had gesteld van de kwetsbaarheid en dat het in China gevestigde socialemediabedrijf sindsdien de fout heeft verholpen, die wordt gevolgd als CVE-2022-28799.
Het beveiligingslek zat in de manier waarop de app de zogenaamde deep links verifieerde, dit zijn Android-specifieke hyperlinks voor toegang tot afzonderlijke componenten binnen een mobiele app. Deep links moeten in het manifest van een app worden gedeclareerd voor gebruik buiten de app, dus iemand die bijvoorbeeld op een TikTok-link in een browser klikt, laat de inhoud automatisch openen in de TikTok-app.
Een app kan ook cryptografisch de geldigheid van een URL-domein aangeven. TikTok op Android, bijvoorbeeld, verklaart het domein m.tiktok.com. Normaal gesproken staat de TikTok-app toe dat inhoud van tiktok.com in de WebView-component wordt geladen, maar verbiedt WebView het laden van inhoud van andere domeinen.
“Door de kwetsbaarheid kon de deep link-verificatie van de app worden omzeild”, schreven de onderzoekers. “Aanvallers kunnen de app dwingen een willekeurige URL naar de WebView van de app te laden, waardoor de URL vervolgens toegang krijgt tot de bijgevoegde JavaScript-bridges van WebView en aanvallers functionaliteit verleent.”
De onderzoekers gingen verder met het maken van een proof-of-concept exploit die precies dat deed. Het ging om het sturen van een gerichte TikTok-gebruiker een kwaadaardige link die, wanneer erop werd geklikt, de authenticatietokens verkreeg die TikTok-servers nodig hebben om gebruikers het eigendom van hun account te laten bewijzen. De link veranderde ook de profielbio van de beoogde gebruiker om de tekst “!! SECURITY BREACH !!” weer te geven.
“Zodra de speciaal vervaardigde kwaadaardige link van de aanvaller wordt aangeklikt door de gerichte TikTok-gebruiker, de server van de aanvaller, https://www.attacker[.]com/poc, krijgt volledige toegang tot de JavaScript-bridge en kan elke blootgestelde functionaliteit aanroepen”, schreven de onderzoekers. “De server van de aanvaller retourneert een HTML-pagina met JavaScript-code om video-uploadtokens terug te sturen naar de aanvaller en om de profielbiografie van de gebruiker te wijzigen.”
Microsoft zei dat het geen bewijs heeft dat de kwetsbaarheid actief is misbruikt in het wild.
Dit verhaal verscheen oorspronkelijk op Ars Technica.