Microsoft พบช่องโหว่ TikTok ที่อาจทำให้บัญชีถูกโจมตีได้ในคลิกเดียว

Microsoft พบช่องโหว่ TikTok ที่อาจทำให้บัญชีถูกโจมตีได้ในคลิกเดียว

เก็ตตี้อิมเมจ

Microsoft กล่าวเมื่อวันพุธว่าเพิ่งระบุช่องโหว่ในแอป Android ของ TikTok ที่อาจอนุญาตให้ผู้โจมตีจี้บัญชีหากผู้ใช้คลิกลิงก์ผิดเพียงลิงก์เดียว ผู้ผลิตซอฟต์แวร์รายงานช่องโหว่ไปยัง TikTok ในเดือนกุมภาพันธ์และกล่าวว่าบริษัทโซเชียลมีเดียในจีนได้แก้ไขข้อบกพร่องที่ติดตามในภายหลังว่า CVE-2022-28799

ช่องโหว่นี้อยู่ในวิธีที่แอประบุสิ่งที่เรียกว่าลิงก์ในรายละเอียด ซึ่งเป็นไฮเปอร์ลิงก์เฉพาะของ Android เพื่อเข้าถึงส่วนประกอบแต่ละส่วนภายในแอปบนอุปกรณ์เคลื่อนที่ ต้องประกาศลิงก์ในรายละเอียดในรายการของแอปเพื่อใช้ภายนอกแอป ตัวอย่างเช่น ผู้ใช้ที่คลิกลิงก์ TikTok ในเบราว์เซอร์จะเปิดเนื้อหาในแอป TikTok โดยอัตโนมัติ

แอปยังสามารถประกาศความถูกต้องของโดเมน URL เป็นรหัสผ่านได้ ตัวอย่างเช่น TikTok บน Android ประกาศโดเมน m.tiktok.com โดยปกติ แอป TikTok จะอนุญาตให้โหลดเนื้อหาจาก tiktok.com ลงในองค์ประกอบ WebView แต่ห้ามไม่ให้ WebView โหลดเนื้อหาจากโดเมนอื่น

“ช่องโหว่นี้ทำให้แอปสามารถเลี่ยงการตรวจสอบลิงก์ในรายละเอียดได้” นักวิจัยเขียน “ผู้โจมตีสามารถโน้มน้าวให้แอปโหลด URL ที่กำหนดเองลงใน WebView ของแอป ทำให้ URL เข้าถึงสะพาน JavaScript ที่เชื่อมต่อกับ WebView และให้ฟังก์ชันการทำงานของผู้โจมตี”

นักวิจัยได้สร้างการพิสูจน์แนวคิดที่ยังคงดำเนินการต่อไป สิ่งนี้เกี่ยวข้องกับการส่งลิงค์ที่เป็นอันตรายจากเซิร์ฟเวอร์ TikTok ไปยังผู้ใช้ TikTok ที่เป็นเป้าหมายซึ่งเมื่อคลิกแล้วจะได้รับโทเค็นการตรวจสอบสิทธิ์ที่ผู้ใช้จำเป็นต้องพิสูจน์ความเป็นเจ้าของบัญชี ลิงก์ PoC ยังเปลี่ยนโปรไฟล์ของผู้ใช้เป้าหมายเพื่อแสดงข้อความ “!! SECURITY BREACH!!”

“เมื่อผู้ใช้ TikTok ที่เป็นเป้าหมายคลิกลิงก์ที่เป็นอันตรายที่ผู้โจมตีสร้างขึ้นเป็นพิเศษ เซิร์ฟเวอร์ของผู้โจมตี https://www.attacker[.]com/poc ได้รับสิทธิ์เข้าถึงสะพาน JavaScript เต็มรูปแบบและสามารถเรียกใช้ฟังก์ชันที่เปิดเผยได้” นักวิจัยเขียน “เซิร์ฟเวอร์ของผู้โจมตีส่งคืนหน้า HTML ที่มีโค้ด JavaScript ทำให้ผู้โจมตีได้รับโทเค็นการอัปโหลดวิดีโอ ส่งและโพสต์โปรไฟล์ของผู้ใช้อีกครั้ง “

Microsoft กล่าวว่าไม่มีหลักฐานว่าช่องโหว่ดังกล่าวถูกใช้อย่างแข็งขันในป่า