Η Microsoft βρήκε και ανέφερε ένα ελάττωμα υψηλής σοβαρότητας στην εφαρμογή TikTok Android τον Φεβρουάριο, το οποίο επέτρεπε στους εισβολείς να καταλαμβάνουν “γρήγορα και αθόρυβα” λογαριασμούς με ένα κλικ, εξαπατώντας στόχους για να κάνουν κλικ σε έναν ειδικά δημιουργημένο κακόβουλο σύνδεσμο .
“Οι εισβολείς θα μπορούσαν να έχουν εκμεταλλευτεί την ευπάθεια για να παραβιάσουν έναν λογαριασμό χωρίς να το γνωρίζουν οι χρήστες, εάν ένας στοχευμένος χρήστης απλώς έκανε κλικ σε έναν ειδικά διαμορφωμένο σύνδεσμο”, δήλωσε ο Δημήτρης Βαλσαμάρας του Microsoft 365 Defender Research Team.
«Οι εισβολείς θα μπορούσαν στη συνέχεια να έχουν πρόσβαση και να τροποποιήσουν τα προφίλ TikTok και τις ευαίσθητες πληροφορίες των χρηστών, όπως η δημοσιοποίηση ιδιωτικών βίντεο, η αποστολή μηνυμάτων και η μεταφόρτωση βίντεο εκ μέρους των χρηστών».
Κάνοντας κλικ στον σύνδεσμο εμφανίστηκαν περισσότερες από 70 μέθοδοι JavaScript που θα μπορούσαν να γίνουν κατάχρηση από έναν εισβολέα με τη βοήθεια ενός εκμεταλλεύματος σχεδιασμένου να παραβιάσει το WebView της εφαρμογής TikTok (ένα στοιχείο συστήματος Android που χρησιμοποιείται από την ευάλωτη εφαρμογή για την εμφάνιση περιεχομένου ιστού).
Χρησιμοποιώντας τις εκτεθειμένες μεθόδους, οι φορείς απειλών θα μπορούσαν να έχουν πρόσβαση ή να τροποποιήσουν τις προσωπικές πληροφορίες των χρηστών του TikTok ή να εκτελούν επαληθευμένα αιτήματα HTTP.
Εν ολίγοις, οι εισβολείς που θα είχαν καταφέρει να εκμεταλλευτούν επιτυχώς αυτήν την ευπάθεια θα μπορούσαν εύκολα:
- να ανακτήσουν τα διακριτικά ελέγχου ταυτότητας των χρηστών (πραγματοποιώντας ένα αίτημα σε έναν διακομιστή υπό τον έλεγχό τους και καταγράφοντας το cookie και τις κεφαλίδες αιτήματος)
- ανακτούσαν ή τροποποίησαν τους χρήστες Δεδομένα λογαριασμού TikTok, συμπεριλαμβανομένων ιδιωτικών βίντεο και ρυθμίσεων προφίλ (με την ενεργοποίηση ενός αιτήματος σε ένα τελικό σημείο του TikTok και την ανάκτηση της απάντησης μέσω της επιστροφής κλήσης JavaScript)
“Βρέθηκε ευπάθεια WebView Hijacking στην εφαρμογή TikTok Android μέσω ενός μη επικυρωμένου συνδέσμου σε βάθος σε μια unη αναφορά HackerOne εξηγεί περαιτέρω.