اكتشفت Microsoft ثغرة في TikTok سمحت بتسوية الحساب بنقرة واحدة

قالت Microsoft يوم الأربعاء إنها اكتشفت مؤخرًا ثغرة أمنية في تطبيق Android الخاص بـ TikTok والتي قد تسمح للمهاجمين باختطاف الحسابات عندما لا يفعل المستخدمون شيئًا أكثر من النقر على رابط ضار. قالت شركة تصنيع البرمجيات إنها أخطرت TikTok بالثغرة الأمنية في فبراير وأن شركة التواصل الاجتماعي ومقرها الصين أصلحت الخلل ، والذي تم تتبعه على أنه CVE-2022-28799.

تكمن الثغرة في كيفية قيام التطبيق بالتحقق من صحة ما يسمى بالروابط العميقة ، وهي روابط تشعبية خاصة بنظام Android للوصول إلى المكونات الفردية داخل تطبيق الهاتف المحمول. للاستخدام خارج التطبيق ، يجب الإعلان عن رابط عميق في بيان التطبيق ، لذلك على سبيل المثال ، الشخص الذي ينقر على رابط TikTok في المتصفح سيفتح المحتوى تلقائيًا في تطبيق TikTok.

يمكن للتطبيق أن يعلن بشكل مشفر عن صلاحية نطاق عنوان URL. TikTok على Android ، على سبيل المثال ، يعلن المجال m.tiktok.com. عادة ، يسمح تطبيق TikTok بتحميل المحتوى من tiktok.com إلى مكون WebView الخاص به ولكنه يمنع WebView من تحميل المحتوى من المجالات الأخرى.

كتب الباحثون: “سمحت الثغرة الأمنية للتطبيق بتجاوز التحقق من الرابط العميق”. “يمكن للمهاجمين إجبار تطبيق ما على تحميل عنوان URL عشوائي إلى WebView للتطبيق ، مما يسمح لعنوان URL بالوصول إلى جسور JavaScript المضمنة في WebView وتوفير وظائف للمهاجم.”

أنشأ الباحثون دليلاً على ثغرات المفهوم التي فعلت ذلك بالضبط. يتضمن ذلك إرسال رابط ضار إلى مستخدم TikTok مستهدف ، والذي ، عند النقر عليه ، يتلقى رموز المصادقة التي تتطلبها خوادم TikTok لإثبات ملكية حساب المستخدم. رابط PoC “!! SECURITY BREACH !!” كما أنها غيرت السيرة الذاتية لملف تعريف المستخدم المستهدف لعرض النص

“بمجرد أن ينقر مستخدم TikTok المستهدف على الرابط الخبيث المصمم خصيصًا للمهاجم ، خادم المهاجم ، https: //www.attacker[.]كتب الباحثون أن com / poc لديه حق الوصول الكامل إلى جسر JavaScript ويمكنه تنفيذ أي وظيفة صريحة. سيرة الملف الشخصي “.

قالت Microsoft إنه لا يوجد دليل على أن الثغرة الأمنية قد تم استغلالها بشكل نشط في البرية.