Pazar, Haziran 23, 2024
Ana SayfaTeknoloji HaberleriMicrosoft, tek tıklamayla hesap uzlaşmalarına izin veren TikTok güvenlik açığını buldu

Microsoft, tek tıklamayla hesap uzlaşmalarına izin veren TikTok güvenlik açığını buldu

Microsoft, tek tıklamayla hesap uzlaşmalarına izin veren TikTok güvenlik açığını buldu

Getty Resimleri

Microsoft Çarşamba günü yaptığı açıklamada, yakın zamanda TikTok’un Android uygulamasında, kullanıcılar tek bir hatalı bağlantıya tıklamaktan başka bir şey yapmadığında saldırganların hesapları ele geçirmesine izin verebilecek bir güvenlik açığı tespit ettiğini söyledi. Yazılım üreticisi, TikTok’u Şubat ayında güvenlik açığından haberdar ettiğini ve Çin merkezli sosyal medya şirketinin o zamandan beri CVE-2022-28799 olarak izlenen hatayı düzelttiğini söyledi.

Güvenlik açığı, uygulamanın, bir mobil uygulama içindeki ayrı bileşenlere erişmek için Android’e özgü köprüler olan derin bağlantılar olarak bilinenleri doğrulama biçiminde yatıyordu. Derin bağlantılar, uygulamanın dışında kullanım için bir uygulamanın bildiriminde bildirilmelidir, böylece örneğin, bir tarayıcıda bir TikTok bağlantısını tıklayan biri, içeriği TikTok uygulamasında otomatik olarak açar.

Bir uygulama, bir URL etki alanının geçerliliğini kriptografik olarak da bildirebilir. Örneğin Android’deki TikTok, m.tiktok.com alan adını ilan eder. Normalde TikTok uygulaması, tiktok.com’dan gelen içeriğin WebView bileşenine yüklenmesine izin verir, ancak WebView’ün diğer etki alanlarından içerik yüklemesini yasaklar.

Araştırmacılar, “Güvenlik açığı, uygulamanın derin bağlantı doğrulamasının atlanmasına izin verdi” diye yazdı. “Saldırganlar, uygulamayı uygulamanın Web Görünümüne rastgele bir URL yüklemeye zorlayabilir ve URL’nin daha sonra Web Görünümü’nün ekli JavaScript köprülerine erişmesine ve saldırganlara işlevsellik vermesine izin verebilir.”

Araştırmacılar, tam da bunu yapan bir kavram kanıtı istismarı yaratmaya devam ettiler. Hedeflenen bir TikTok kullanıcısına, tıklandığında, kullanıcıların hesaplarının sahipliğini kanıtlamaları için TikTok sunucularının ihtiyaç duyduğu kimlik doğrulama belirteçlerini alan kötü niyetli bir bağlantı göndermeyi içeriyordu. PoC bağlantısı ayrıca hedeflenen kullanıcının profil biyografisini “!! GÜVENLİK İHLALİ !!” metnini gösterecek şekilde değiştirdi.

“Saldırganın özel olarak hazırlanmış kötü amaçlı bağlantısı, hedeflenen TikTok kullanıcısı tarafından tıklandığında, saldırganın sunucusu, https://www.attacker[.]com/poc, JavaScript köprüsüne tam erişime sahiptir ve açıkta kalan herhangi bir işlevi çalıştırabilir,” diye yazdı araştırmacılar. “Saldırganın sunucusu, saldırgana video yükleme jetonlarını geri göndermek ve kullanıcının şifresini değiştirmek için JavaScript kodunu içeren bir HTML sayfası döndürür. profil biyografisi.”

Microsoft, güvenlik açığının vahşi doğada aktif olarak istismar edildiğine dair hiçbir kanıtı olmadığını söyledi.

RELATED ARTICLES

Popüler Konular