Разработчики TikTok устранили две уязвимости, которые позволяли захватывать учетные записи пользователей, зарегистрированных через сторонние приложения. Уязвимости представляли собой отраженный XSS и связанный с доменом компании баг, ведущий к полной комплектации учетных записей.
Об уязвимостях сообщил ИБ-исследователь Мухаммед Таскиран (Muhammed Taskiran), через официальную bug bounty программу компании на платформе HackerOne.
Первая проблема была связана с параметром URL в домене tiktok.com и m.tiktok.com, который не очищался должным образом. Эту проблему можно было использовать для выполнения вредоносного кода в рамках браузерной сессии пользователя.
Также эксперт обнаружил, что эндпоинт API TikTok уязвим перед CSRF-атаками, которые позволяют изменять пароли для учетных записей для пользователей, которые зарегистрировались с помощью сторонних приложений.
«Я объединил эти уязвимости, создав простой JavaScript-пейлоад (провоцирующий CSRF, который я ранее внедрил в уязвимый параметр URL), который позволял захватывать учетные записи в один клик», — пишет специалист.
Исследователь уведомил разработчиков TikTok о проблеме в конце августа текущего года, и компания выпустила патчи для обнаруженных ошибок в конце сентября. Также исследователю выплатили вознаграждение за баги в размере 3860 долларов США.
