صور جيتي
قالت شركة Microsoft يوم الأربعاء إنها حددت مؤخرًا ثغرة أمنية في تطبيق TikTok’s Android والتي قد تسمح للمهاجمين باختطاف الحسابات عندما لا يفعل المستخدمون شيئًا أكثر من النقر فوق رابط واحد غير صحيح. قالت شركة تصنيع البرمجيات إنها أخطرت TikTok بالثغرة الأمنية في فبراير وأن شركة التواصل الاجتماعي التي تتخذ من الصين مقراً لها قد أصلحت الخلل منذ ذلك الحين ، وتم تتبعه على أنه CVE-2022-28799.
تكمن الثغرة الأمنية في الطريقة التي صادق بها التطبيق على ما يسمى بالروابط العميقة ، وهي روابط تشعبية خاصة بنظام Android للوصول إلى المكونات الفردية داخل تطبيق الهاتف المحمول. يجب الإعلان عن الروابط الداخلية في بيان التطبيق للاستخدام خارج التطبيق ، لذلك ، على سبيل المثال ، الشخص الذي ينقر على رابط TikTok في المتصفح سيفتح المحتوى تلقائيًا في تطبيق TikTok.
يمكن للتطبيق أيضًا أن يؤكد بشكل مشفر صحة مجال URL. TikTok على Android ، على سبيل المثال ، يعلن المجال m.tiktok.com. عادةً ، سيسمح تطبيق TikTok بتحميل المحتوى من tiktok.com في مكون WebView الخاص به ، لكنه يمنع WebView من تحميل المحتوى من المجالات الأخرى.
كتب الباحثون: “سمحت الثغرة الأمنية بتجاوز مصادقة الرابط العميق للتطبيق”. “يمكن للمهاجمين إجبار التطبيق على تحميل عنوان URL عشوائي في WebView للتطبيق ، والسماح لعنوان URL بالوصول بعد ذلك إلى جسور JavaScript المرفقة في WebView وتوفير وظائف للمهاجمين.”
ذهب الباحثون لإنشاء برهان مفهوم استغلال الذي فعل ذلك بالضبط. تضمن إرسال رابط ضار لمستخدم TikTok مستهدف ، والذي حصل عند النقر عليه على رموز المصادقة التي تطلبها خوادم TikTok من المستخدمين إثبات ملكية حساباتهم. قام رابط PoC أيضًا بتغيير السيرة الذاتية للملف الشخصي للمستخدم المستهدف لعرض النص “!! SECURITY BREACH !!”
“بمجرد النقر على الرابط الخبيث المصمم خصيصًا للمهاجم بواسطة مستخدم TikTok المستهدف ، خادم المهاجم ، https: //www.attacker[.]com / poc ، يُمنح حق الوصول الكامل إلى جسر JavaScript ويمكنه تنفيذ أي وظيفة مكشوفة “، كما كتب الباحثون.” يعيد خادم المهاجم صفحة HTML تحتوي على كود JavaScript لإرسال رموز تحميل الفيديو إلى المهاجم بالإضافة إلى تعديل إعدادات المستخدم. سيرة شخصية “.
قالت Microsoft إنه ليس لديها دليل على أن الثغرة الأمنية قد تم استغلالها بشكل نشط في البرية.
“Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert.”
