Getty Images
Microsoft sagte am Mittwoch, dass es kürzlich eine Schwachstelle in der Android-App von TikTok identifiziert habe, die es Angreifern ermöglichen könnte, Konten zu hijacken, wenn Benutzer nur auf einen einzigen falschen Link klicken. Der Softwarehersteller sagte, er habe TikTok im Februar über die Schwachstelle informiert und dass das in China ansässige Social-Media-Unternehmen den Fehler, der als CVE-2022-28799 verfolgt wird, seitdem behoben habe.
Die Schwachstelle liegt darin, wie die App nach sogenannten Deep Links sucht, das sind Android-spezifische Hyperlinks, um auf einzelne Komponenten innerhalb einer mobilen Anwendung zuzugreifen. Für die Verwendung außerhalb der App müssen Deeplinks im App-Manifest deklariert werden, damit beispielsweise eine Person, die im Browser auf einen TikTok-Link klickt, automatisch den Inhalt in der TikTok-App öffnet.
Die App kann auch kryptisch die Gültigkeit einer URL-Domain verkünden. TikTok auf Android bewirbt beispielsweise die Domain m.tiktok.com. Normalerweise lässt TikTok zu, dass Inhalte von tiktok.com in seine WebView-Komponente geladen werden, verhindert aber, dass WebView Inhalte von anderen Domains lädt.
„Die Schwachstelle ermöglichte es, die Deep-Link-Verifizierung der Anwendung zu umgehen“, schreiben die Forscher. „Angreifer können die Anwendung zwingen, eine zufällige URL in die WebView der Anwendung zu laden, wodurch die URL dann auf JavaScript-Bridges zugreifen kann, die an die WebView angehängt sind, und den Angreifern Funktionalität gewährt.“
Die Forscher fuhren fort, einen Proof-of-Concept-Exploit zu erstellen, der genau das tat. Dabei wurde ein bösartiger Link an einen gezielten TikTok-Benutzer gesendet, der beim Anklicken die Authentifizierungscodes erhielt, die TikTok-Server benötigen, damit Benutzer den Besitz ihres Kontos bestätigen können. Der PoC-Linker hat auch die Biografie des Profils des Zielbenutzers geändert, um den Text „!! SICHERHEITSVERLETZUNG!!“
Sobald der gezielte TikTok-Benutzer auf den speziell für den Angreifer entworfenen schädlichen Link geklickt hat, wird der Server des Angreifers, https://www.attacker[.]com/poc, erhält vollen Zugriff auf die JavaScript-Brücke und kann jede exponierte Funktion aufrufen“, schrieben die Forscher. Der Server des Angreifers gibt eine HTML-Seite mit JavaScript-Code zurück, um die Video-Upload-Codes an den Angreifer zu senden und eine Biografie zu ändern.“
Microsoft sagte, es habe keine Beweise dafür, dass die Schwachstelle aktiv in freier Wildbahn ausgenutzt wurde.
„Kommunikator. Freiberuflicher Gamer. Absoluter Musik-Nerd. Neigt zu Apathieanfällen. Freundlicher Webspezialist.“
More Stories
Der Trailer zu Hades 2 enthüllt alle sexy Götter
Sony hat mit seiner neuen Produktreihe 2024 möglicherweise die Mini-LED-Fernseher perfektioniert
Logitech möchte, dass Sie den neuen KI-Knopf drücken