マイクロソフトは言った 8 月 31 日、TikTok の Android アプリに脆弱性が発見され、ユーザーが誤ったリンクをクリックしただけで、攻撃者がアカウントを乗っ取る可能性があることが明らかになりました。 このソフトウェア メーカーは、2 月に TikTok にこの脆弱性を通知し、その後、中国を拠点とするソーシャル メディア企業が CVE-2022-28799 として追跡されている脆弱性を修正したと述べました。
この脆弱性は、モバイル アプリ内の個々のコンポーネントにアクセスするための Android 固有のハイパーリンクである、いわゆるディープ リンクをアプリが検証する方法に存在していました。 ディープ リンクは、アプリの外部で使用するためにアプリのマニフェストで宣言する必要があります。たとえば、ブラウザーで TikTok リンクをクリックすると、コンテンツが TikTok アプリで自動的に開かれます。
アプリは、URL ドメインの有効性を暗号で宣言することもできます。 たとえば、Android の TikTok は、ドメイン m.tiktok.com を宣言します。 通常、TikTok アプリは tiktok.com からのコンテンツをその WebView コンポーネントにロードすることを許可しますが、WebView が他のドメインからコンテンツをロードすることを禁止します。
「この脆弱性により、アプリのディープリンク検証がバイパスされる可能性がありました」と研究者は書いています。 「攻撃者はアプリに強制的に任意の URL をアプリの WebView に読み込ませ、その URL が WebView に接続された JavaScript ブリッジにアクセスし、攻撃者に機能を付与できるようにする可能性があります。」
研究者たちは、まさにそれを行う概念実証のエクスプロイトを作成しました。 標的の TikTok ユーザーに悪意のあるリンクを送信し、クリックすると、ユーザーがアカウントの所有権を証明するために TikTok サーバーが必要とする認証トークンを取得しました。 このリンクはまた、ターゲット ユーザーのプロフィール バイオを「!! SECURITY BREACH !!」というテキストを表示するように変更しました。
「攻撃者が特別に作成した悪意のあるリンクが標的の TikTok ユーザーによってクリックされると、攻撃者のサーバー https://www.attacker[.]com/poc には、JavaScript ブリッジへのフル アクセスが許可されており、公開されている機能を呼び出すことができます」と研究者は書いています。 「攻撃者のサーバーは、JavaScript コードを含む HTML ページを返し、動画のアップロード トークンを攻撃者に送り返し、ユーザーのプロフィールの経歴を変更します。」
Microsoft は、この脆弱性が実際に積極的に悪用されたという証拠はないと述べています。
この話はもともと アルステクニカ.