Дыру в безопасности нашли еще в феврале, присвоив ей идентификатор CVE-2022-28799. Все это время TikTok устранял проблему.
Интересно TikTok планирует запустить собственный музыкальный сервис и сразиться с другими гигантами индустрии.
Что известно
Уязвимость заключалась в том, как программа проверяла то, что называется "глубокими ссылками" – специфические для Android гиперссылки для доступа к отдельным компонентам мобильного приложения. Глубокие ссылки, например, используются для того, чтобы у нажимающего на ссылку TikTok в браузере содержимое автоматически открывалось в приложении. TikTok позволяет содержимому из tiktok.com быть загруженным в его компонент WebView, но запрещает WebView загружать содержимое из других доменов.
Уязвимость позволила обойти глубокую проверку ссылок программы. Хакеры могут заставить приложение загружать произвольный URL-адрес в WebView программы, что позволит URL-адресу затем получить доступ к подключенным мостам JavaScript WebView и предоставить функциональность злоумышленникам,
– пишут исследователи.
- Специалистам Microsoft удалось создать специальную программу (эксплойт) для использования этого бага.
- Это предполагало отправку целевому пользователю TikTok зловредной ссылки, которая при нажатии получала маркеры аутентификации, требующие сервера TikTok, чтобы пользователи подтвердили право собственности на свою учетную запись.
- После этого они получили полный доступ к мосту JavaScript и смогли использовать любую функциональность.
- К примеру, программа автоматически меняла биографию тестового пользователя на "!!НАРУШЕНИЕ БЕЗОПАСНОСТИ!!".
Microsoft заявила, что нет доказательств того, что уязвимость активно использовалась хакерами.