Злоумышленники похищают TikTok-аккаунты в 1 клик. Уязвим | ITsec NEWS
Злоумышленники похищают TikTok-аккаунты в 1 клик.
Уязвимость в приложении TikTok для Android обнаружили исследователи из Microsoft еще в феврале, а совсем недавно компания подробно описала результаты, подчеркнув, что уязвимость могла позволить злоумышленникам похищать учетные записи пользователей 1 кликом мыши.
CVE-2022-28799 затрагивала Android-приложение TikTok версий 23.7.3 и ниже, а для ее использования нужно было использовать несколько других уязвимостей. Чтобы получить полный доступ к аккаунту пользователя, хакерам достаточно было заставить пользователя нажать на специально сгенерированную ссылку. Получив доступ к аккаунту, злоумышленники получали возможность просматривать приватные видео, отправлять сообщения и загружать свои видео.
Как же эта уязвимость могла быть использована хакерами? По данным Microsoft, приложение TikTok для Android позволяет обойти проверку глубокой ссылки. В результате злоумышленники могут заставить приложение загрузить URL-адрес в компонент WebView приложения.
Страница, расположенная по загруженному URL-адресу, получает доступ к JavaScript-мостам WebView — это буквально развязывает руки хакерам, давая им 70 способов быстрого доступа к информации пользователя. Кроме того, злоумышленник мог получить токены аутентификации жертвы, отправив запрос к серверу, а затем записав cookie-файлы и заголовки запроса.
Эксперты рекомендуют пользователям не переходить по ссылкам из ненадежных источников и обновить приложение до последних версий как можно скорее.
#TikTok #Взлом #Фишинг
ITsec NEWS
