ゲッティイメージズ
マイクロソフトは水曜日、TikTok の Android アプリに、ユーザーが 1 つの間違ったリンクをクリックするだけで、攻撃者がアカウントを乗っ取ることができる脆弱性を最近特定したと発表しました。 このソフトウェア メーカーは、2 月に TikTok にこの脆弱性を通知し、その後、中国を拠点とするソーシャル メディア企業が CVE-2022-28799 として追跡されている脆弱性を修正したと述べました。
この脆弱性は、モバイル アプリケーション内の個々のコンポーネントにアクセスするための Android 固有のハイパーリンクであるディープ リンクと呼ばれるものをアプリがチェックする方法に存在します。 ディープ リンクは、アプリの外部で使用するためにアプリ マニフェストで宣言する必要があります。たとえば、ブラウザーで TikTok リンクをクリックすると、コンテンツが TikTok アプリで自動的に開かれます。
アプリは、URL ドメインの有効性を暗号化してアナウンスすることもできます。 たとえば、Android の TikTok はドメイン m.tiktok.com を宣伝します。 通常、TikTok は tiktok.com からのコンテンツをその WebView コンポーネントにロードすることを許可しますが、WebView が他のドメインからコンテンツをロードすることを防ぎます。
「この脆弱性により、アプリケーションのディープリンク検証がバイパスされる可能性がありました」と研究者は書いています。 「攻撃者はアプリケーションにランダムな URL をアプリケーションの WebView に読み込ませることができます。これにより、URL は WebView に接続された JavaScript ブリッジにアクセスし、攻撃者に機能を付与できます。」
研究者は、まさにそれを行う概念実証のエクスプロイトを作成し続けました。 標的の TikTok ユーザーに悪意のあるリンクを送信し、クリックすると、ユーザーがアカウントの所有権を確認するために TikTok サーバーが必要とする認証コードを取得しました。 また、PoC リンカーは、ターゲット ユーザーのプロフィールの略歴を変更して、「!! SECURITY BREACH!!」というテキストを表示しました。
攻撃者専用に設計された悪意のあるリンクが標的の TikTok ユーザーによってクリックされると、攻撃者のサーバー https://www.attacker[.]com/poc は、JavaScript ブリッジへのフル アクセスを与えられ、公開された関数を呼び出すことができます」と研究者は書いています。 攻撃者のサーバーは、JavaScript コードを含む HTML ページを返し、動画のアップロード コードを攻撃者に送信し、略歴を変更します。」
Microsoft は、この脆弱性が実際に積極的に悪用されたという証拠はないと述べた。
「流行に敏感な探検家。受賞歴のあるコーヒーマニア。アナリスト。問題解決者。トラブルメーカー。」
More Stories
Evo Japan 2024のTwitchストリームが2日目の放送期間中に一時的に禁止されたときに何が起こったと思われるかは次のとおりです
City of the Wolvesのキャラクター選択画面がデモから明らかになりました
eBay での Apple Vision Pro の価格を見ると悲しくなる