TikTok voor Android Bug maakt accountkaping met één klik mogelijk

0
55


Een zeer ernstige fout in de Android-versie van de TikTok-app, die tot nu toe meer dan 1,5 miljard keer is geïnstalleerd via de Google Play Store, zou ertoe kunnen leiden dat cybercriminelen het account van een gebruiker met een enkele klik kunnen kapen.

Microsoft ontdekte de zeer ernstige kwetsbaarheid in de afhandeling van een van TikTok voor Android’s deeplinks, een bepaald type hyperlink in Android die linkt naar een specifiek onderdeel binnen een app. Om het te misbruiken, zouden cybercriminelen een kwaadaardige link kunnen maken die, als erop wordt geklikt, volledige toegang tot het account zou geven.

Bijgehouden als CVE-2022-28799, zou de fout aanvallers in staat kunnen stellen om TikTok-profielen van gebruikers aan te passen en toegang te krijgen tot gevoelige informatie, “zoals door privévideo’s te publiceren, berichten te verzenden en video’s te uploaden namens gebruikers”, aldus een Microsoft Security-blog bericht woensdag gepubliceerd.

In totaal onthult een exploit 70 methoden voor een aanvaller om de TikTok-profielen van gebruikers te wijzigen en toegang te krijgen tot gevoelige informatie zonder dat de gebruikers het weten, zei hij.

Onder de motorkap: JavaScript gebruiken

Hoewel CVE-2022-28799 zelf wordt gevonden in een deeplink in de Android-versie van TikTok, hangt het exploiteren van de fout af van de implementatie van JavaScript-interfaces door de app, die worden geleverd door de WebView-component van de app, aldus Microsoft.

Met WebView kunnen applicaties webpagina’s laden en weergeven en, met behulp van de “addJavascriptInterface” API-aanroep, ook bridge-functionaliteit bieden waarmee JavaScript-code op de webpagina specifieke Java-methoden van een bepaalde klasse in de app kan aanroepen.

Het probleem met WebView is dat als iemand, zoals een dreigingsactor, niet-vertrouwde webinhoud in WebView laadt met objecten op applicatieniveau die toegankelijk zijn via JavaScript-code, de app kwetsbaar is voor JavaScript-interface-injectie. Dit kan leiden tot datalekken, datacorruptie of, in sommige gevallen, het uitvoeren van willekeurige code, aldus Microsoft.

“TikTok voor Android maakt uitgebreid gebruik van JavaScript-interfaces, waardoor de WebView-mogelijkheden die in de app worden gebruikt, worden verbeterd”, aldus het bericht.

Microsoft-onderzoekers ontdekten wat zij noemen “een klasse van interesse” die gebruikmaakt van WebView in TikTok’s Android-versie die “een JavaScript-brug registreert die toegang heeft tot elk type functionaliteit geïmplementeerd door de klassen van een brug”, die kan worden misbruikt vanwege de deeplink-kwetsbaarheid, zeiden ze.

“Aanvallers kunnen de kwetsbaarheid gebruiken om URL’s om te leiden naar verschillende componenten van de applicatie via een queryparameter om de deeplink te activeren en niet-geëxporteerde activiteiten aan te roepen, waardoor het aanvalsoppervlak van de applicatie groter wordt”, aldus het bericht.

Proof-of-Concept TikTok-aanval

In een proof-of-concept (PoC) exploit konden Microsoft-onderzoekers de applicatie dwingen een willekeurige URL te laden (https://www.tiktok[.]com, in dit geval) naar de WebView van de applicatie, zeiden ze.

“Door deze URL te bewerken met aanvullende queryparameters, was het mogelijk om een ​​instantie van de JavaScript-bridge te injecteren die volledige toegang biedt tot de functionaliteit die is geïmplementeerd door het getroffen bridge-pakket”, aldus het bericht.

Het voegde eraan toe: “Kortom, door een van de methoden te controleren die geverifieerde HTTP-verzoeken kunnen uitvoeren, kan een kwaadwillende actor een TikTok-gebruikersaccount hebben gecompromitteerd.”

Patch nu de TikTok-app

Microsoft heeft TikTok op de hoogte gesteld van de fout, volgens zijn praktijken voor verantwoorde openbaarmaking. TikTok reageerde door snel een oplossing uit te brengen voor beide versies van de Android-app die het aanbiedt – een voor Oost-Azië en Zuidoost-Azië en de andere voor alle overige landen – die beide werden getroffen. Gebruikers moeten hun apps bijwerken naar de nieuwste versie om zichzelf te beschermen.

De snelle reactie is opmerkelijk, gezien de talloze privacy- en beveiligingsproblemen die TikTok in het verleden teisterden. Het heeft de afgelopen jaren echter zijn act opgeschoond, te beginnen met de introductie van een bug-bounty-programma via HackerOne in 2020.

In februari vertelde de wereldwijde chief security officer van het bedrijf, Roland Cloutier, aan Dark Reading dat TikTok zich ertoe heeft verbonden in de toekomst een cultuur van veiligheid en transparantie op te bouwen, gezien de toegang tot gevoelige gegevens en inhoud voor miljarden organisaties en individuen.

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in