Специалисты Microsoft рассказали, что еще в феврале текущего года они обнаружили серьезную уязвимость (CVE-2022-28799) в приложении TikTok для Android. Баг позволял злоумышленникам моментально захватывать чужие аккаунты, сразу после того, как жертва нажала на специальную вредоносную ссылку.
«Злоумышленники могли использовать уязвимость для захвата учетной записи без ведома пользователя, если цель просто кликала по специально созданной ссылке, — рассказывают эксперты Microsoft 365 Defender. — Затем атакующие могли получить доступ к конфиденциальной информации и изменить профили пользователя TikTok, например, публиковать личные видео, отправлять сообщения и загружать ролики от имени жертвы».
Проблема затрагивала две версии приложения для Android: com.ss.android.ugc.trill (для пользователей из Восточной и Юго-Восточной Азии) и com.zhiliaoapp.musically (для пользователей других стран, кроме Индии, где TikTok запрещен). В совокупности уязвимые приложения насчитывали более 1,5 млрд установок.
Уязвимость была связана с обработкой так называемых deeplink, специальных гиперссылкок, которые позволяют приложениям открывать определенные ресурсы в других приложениях, а не направлять пользователей на сайт.
«Специально подготовленный URL-адрес (deeplink без валидации) мог заставить com.zhiliaoapp.musically WebView загрузить произвольный сайт. А это позволяло злоумышленнику использовать интерфейс JavaScript для захвата аккаунта всего в один клик», — гласит отчет Microsoft.
То есть уязвимость позволяла обойти ограничения, которые должны отклонять ненадежные хосты, и разрешить загрузку любого сайта через WebView по выбору злоумышленника .
«Фильтрация осуществляется на стороне сервера, и решение о загрузке или отклонении URL-адреса основывается на ответе, полученном после конкретного HTTP GET-запроса, — пишут исследователи. — Проверки на стороне сервера можно обойти, путем добавления двух дополнительных параметров в deeplink».
Эксперты пишут, что простое нажатие на ссылку обнаруживало более 70 JavaScript-методов, которыми злоумышленник мог злоупотребить с помощью эксплоита, предназначенного для атаки на WebView в приложении TikTok. В итоге атакующий мог получить доступ или изменить личную информацию пользоватея TikTok, а также выполнить аутентифицированные HTTP-запросы. В итоге перед хакером открывались следующие возможности:
- получение токенов аутентификации жертвы (через отправку запроса к серверу, находящемуся под контролем хакера, перехватив файлы cookie и заголовки запроса);
- извлечь или изменить данные TikTok-аккаунта, в том числе частные видео и настройки профиля (путем отправки запроса к эндпойнту TikTok и получения ответа с помощью JavaScript-callback).
Так как еще весной исследователи сообщили об этой проблеме разработчикам TikTok, китайская социальная сеть уже устранила уязвимость в версии 23.7.3. В Microsoft сообщают, что им неизвестно о случаях эксплуатации этого бага хакерами.