Người dùng TikTok dễ bị tấn công bằng một cú nhấp chuột

Xem Thêm : Khi nào là Ngày Amazon Prime 2022? Mẹo để

Microsoft cho biết trên Ngày 31 tháng 8, họ gần đây đã xác định một lỗ hổng trong ứng dụng Android của TikTok có thể cho phép những kẻ tấn công chiếm đoạt tài khoản khi người dùng không làm gì khác hơn là nhấp vào một liên kết sai sót. Nhà sản xuất phần mềm cho biết họ đã thông báo cho TikTok về lỗ hổng bảo mật vào tháng 2 và công ty truyền thông xã hội có trụ sở tại Trung Quốc đã sửa lỗ hổng này, được theo dõi là CVE-2022-28799.

Lỗ hổng bảo mật nằm ở cách ứng dụng xác minh những gì được gọi là liên kết sâu, là các siêu liên kết dành riêng cho Android để truy cập các thành phần riêng lẻ trong ứng dụng dành cho thiết bị di động. Các liên kết sâu phải được khai báo trong tệp kê khai của ứng dụng để sử dụng bên ngoài ứng dụng — vì vậy, ví dụ: ai đó nhấp vào liên kết TikTok trong trình duyệt sẽ tự động mở nội dung trong ứng dụng TikTok.

Một ứng dụng cũng có thể khai báo bằng mật mã tính hợp lệ của miền URL. Ví dụ: TikTok trên Android khai báo miền m.tiktok.com. Thông thường, ứng dụng TikTok sẽ cho phép tải nội dung từ tiktok.com vào thành phần WebView của nó nhưng cấm WebView tải nội dung từ các miền khác.

“Lỗ hổng bảo mật đã cho phép bỏ qua xác minh liên kết sâu của ứng dụng,” các nhà nghiên cứu viết. “Những kẻ tấn công có thể buộc ứng dụng tải một URL tùy ý vào WebView của ứng dụng, cho phép URL sau đó truy cập vào các cầu JavaScript đính kèm của WebView và cấp chức năng cho những kẻ tấn công.”

Các nhà nghiên cứu đã tiếp tục tạo ra một phương pháp khai thác bằng chứng khái niệm để làm được điều đó. Nó liên quan đến việc gửi cho người dùng TikTok được nhắm mục tiêu một liên kết độc hại mà khi được nhấp vào, họ sẽ lấy được mã thông báo xác thực mà máy chủ TikTok yêu cầu để người dùng chứng minh quyền sở hữu tài khoản của họ. Liên kết cũng đã thay đổi tiểu sử hồ sơ của người dùng được nhắm mục tiêu để hiển thị văn bản “!! BẢO MẬT !!”

“Khi liên kết độc hại được chế tạo đặc biệt của kẻ tấn công được người dùng TikTok được nhắm mục tiêu nhấp vào, máy chủ của kẻ tấn công, https: //www.attacker[.]com / poc, được cấp quyền truy cập đầy đủ vào cầu nối JavaScript và có thể gọi bất kỳ chức năng nào bị lộ, ”các nhà nghiên cứu viết. “Máy chủ của kẻ tấn công trả về một trang HTML chứa mã JavaScript để gửi mã thông báo tải lên video trở lại kẻ tấn công cũng như thay đổi tiểu sử hồ sơ của người dùng”.

Microsoft cho biết họ không có bằng chứng cho thấy lỗ hổng bảo mật đã được khai thác một cách tự nhiên.

Câu chuyện này ban đầu xuất hiện trên Ars Technica.