Домой Технологии Интернет и сеть В TikTok для Android – критическая уязвимость

В TikTok для Android – критическая уязвимость

400
Microsoft обнаружила в TikTok для Android критическую уязвимость, которая позволяет красть аккаунты

Microsoft обнаружила в приложении TikTok для Android серьёзную уязвимость, которая позволяла злоумышленникам взломать учётные записи пользователей одним щелчком мыши. Уязвимость уже была устранена, и никаких доказательств её эксплуатации не выявили. 

Для кражи аккаунта было достаточно перехода пользователя по вредоносной ссылке. Затем злоумышленники могли получить доступ к профилю, изменить данные в нём и выгрузить конфиденциальную информацию.

Кража аккаунтов была возможной благодаря тому, что хакеры могли заставить приложение загрузить произвольный URL-адрес в WebView, и это давало доступ к подключённым мостам JavaScript WebView. 

Исследователь Microsoft по безопасности уведомил TikTok о проблемах в феврале 2022 года. Компания быстро отреагировала, выпустив исправление для устранения обнаруженной уязвимости, идентифицированной как CVE-2022-28799 с оценкой 8,3.

Сама уязвимость связана с обработкой приложением конкретной прямой ссылки. В контексте операционной системы Android диплинк — это специальная гиперссылка, которая ссылается на определённый компонент в мобильном приложении и состоит из схемы и (обычно) хост-части. При нажатии на диплинк менеджер пакетов Android опрашивает все установленные приложения, чтобы узнать, какое из них может обработать её, а затем направляет диплинк компоненту.

В Microsoft рекомендуют сообществу разработчиков принимать дополнительные меры предосторожности для защиты WebView. В тех случаях, когда невозможно избежать использования интерфейсов JavaScript, предлагается использовать утверждённый список доверенных доменов для загрузки в WebView приложения, чтобы предотвратить загрузку вредоносного или ненадежного веб-контента. 

Кроме того, Microsoft предлагает следующие методы безопасного кодирования:

  • использовать браузер по умолчанию, чтобы открывать URL-адреса, не принадлежащие к одобренному списку приложения;
  • поддерживать список включённых доменов;
  • избегать использования методов частичного сравнения строк для сравнения и проверки URL-адреса с утверждённым списком доверенных доменов;
  • не добавлять домены сцены или внутренней сети в одобренный список, так как злоумышленник может подделать их для захвата WebView.

Пользователям рекомендуется:

  • не переходить по ссылкам из ненадёжных источников;
  • всегда обновлять устройство и установленные приложения;
  • никогда не устанавливать приложения из ненадёжных источников;
  • немедленно сообщать поставщику о любом странном поведении приложения, например об изменении настроек без вмешательства пользователя.

Отметим, что в августе этого года американская Oracle начала проверять алгоритмы TikTok и модели модерации контента, чтобы убедиться, что китайские власти не манипулируют ими.