Microsoft, TikTok istemcisinde önemli bir hata ortaya çıkardı – Güvenlik
Play Store’dan 1,5 milyardan fazla indirme kaydeden popüler TikTok uygulamasının Android sürümleri, tek tıklamayla hesap ele geçirmeye izin veren oldukça tehlikeli bir güvenlik açığı içeriyor.
TikTok, kullanıcılara uygulamalarını 23.7.3 veya daha yüksek bir sürüme güncellemelerini tavsiye etti.
hata çok kısa anlat Ortak güvenlik açıklarını ve riskleri tanıtırken.
“Android için 23.7.3’ten önceki TikTok uygulaması, hesabın devralınmasına izin veriyor. Tasarlanan URL (doğrulanmamış derin bağlantı), com.zhiliaoapp.musically WebView’ı rastgele bir web sitesi yüklemeye zorlayabilir. Bu, bir saldırganın bir tane için ekli JavaScript arayüzünden yararlanmasına izin verebilir. devralmayı tıklayın”.
içinde Blog yazısı Microsoft keşfini açıkladı ve daha fazla ayrıntı verdi.
Microsoft, “Açıklık, uygulamanın derin bağlantı doğrulamasının atlanmasına izin verdi” diye yazdı.
“Saldırganlar, uygulamayı uygulamanın Web Görünümüne rastgele bir URL yüklemeye zorlayabilir, bu da URL’nin Web Görünümüne bağlı JavaScript köprülerine erişmesine ve saldırganlara işlevsellik vermesine olanak tanır.”
Gönderi, JavaScript arayüzlerinin, “uygulamaların web sayfalarını yüklemesine ve görüntülemesine izin veren WebView bileşeni tarafından sağlandığını ve addJavascriptInterface API çağrısını kullanarak, bir web sayfasındaki JavaScript kodunun çağrılmasına izin veren bir köprü işlevi de sağlanabileceğini açıkladı. uygulamada belirli bir sınıf için belirli Java yöntemleri”.
Hesap devralma hatası, TikTok uygulamasının belirli bir derin bağlantıyı – mobil uygulama içindeki belirli bir bileşene bağlanan bir tür köprüyü – işleme biçiminde bulundu.
Microsoft, WebView ve JavaScript’in uygulamaların derin bağlantılarıyla etkileşim biçimini kötüye kullanarak, bir saldırganın kullanıcı kimlik doğrulama kodlarını alma; veya hesap verilerini kurtarın veya değiştirin.
Kısacası, kimliği doğrulanmış HTTP isteklerini yürütebilen yöntemlerden herhangi birini kontrol ederek, kötü niyetli aktör bir TikTok kullanıcı hesabını hacklemiş olabilir.