Опасная уязвимость в компоненте WebView приложения ставит под угрозу безопасность 1.5 миллиарда пользователей TikTok.
https://www.securitylab.ru/upload/ib...pn3f3pphtt.jpg
Уязвимость в приложении TikTok для Android была обнаружена исследователями из Microsoft еще в феврале, а совсем недавно компания подробно описала результаты своих исследований, подчеркнув что уязвимость могла позволить злоумышленникам похищать учетные записи пользователей одним кликом мыши.
CVE-2022-28799 затрагивала Android-приложение TikTok версий 23.7.3 и ниже, а для ее использования нужно было использовать несколько других уязвимостей. Чтобы получить полный доступ к аккаунту пользователя, хакерам достаточно было заставить пользователя нажать на специально сгенерированную ссылку. Получив доступ к аккаунту, злоумышленники получали возможность просматривать приватные видео, отправлять сообщения и загружать свои видео.
Как же эта уязвимость могла быть использована хакерами? По данным Microsoft, приложение TikTok для Android позволяет обойти проверку глубокой ссылки. В результате злоумышленники могут заставить приложение загрузить URL-адрес в компонент WebView приложения.
Страница, расположенная по загруженному URL-адресу, получает доступ к JavaScript-мостам WebView, что буквально развязывает руки хакерам, давая им 70 способов быстрого доступа к информации пользователя. Кроме того, злоумышленник мог получить токены аутентификации жертвы, отправив запрос к серверу, а затем записав cookie-файлы и заголовки запроса.
Эксперты рекомендуют пользователям не переходить по ссылкам из ненадежных источников и обновить приложение до последних версий как можно скорее.