Tiktok應用程序的編輯中國公司Bondentance歸功於Microsoft。 Redmond Company的安全研究人員確實在其應用程序的Android版本中發現了一個嚴重的缺陷(CVE-2022-28799)。由於這種漏洞,黑客可以控制任何帳戶,因為他知道Tiktok聲稱約有15億用戶!
具體的風險是什麼?為了利用這個缺陷,發送一個被困的鏈接就足夠了。單擊時,黑客可以訪問並修改個人數據,閱讀接收到的消息並下載視頻。微軟的研究人員證明了博客註釋中發表的概念證明的攻擊。受害者點擊被困的鏈接後,攻擊者可以通過插入“!安全漏洞!”單詞來恢復身份驗證令牌並修改用戶的傳記。
簡而言之,對於Tiktok等社交網絡來說,這將是一個真正的災難。微軟在2022年2月發出了警報。一個月後,該缺陷通過更新堵塞。迄今為止,沒有觀察到任何惡意剝削,這是個好消息。 Tiktok用戶逃脫了它的美麗。
這個缺陷的起源是在某種危險的管理中發現的深鏈接。這是一種推薦技術,它允許在Android應用程序的程序中指向內部軟件資源 - 函數,模塊或外部 - 手機的另一個移動應用程序,網站等。 MicrosoftResearchers發現了某種多種多樣的深鏈接允許您強迫應用程序加載任何URL。
站到JavaScript橋
總體而言,它已經很嚴重了,但這還不是全部。 Tiktok應用程序在“ JavaScript橋”中也具有脆弱性。這是一種內部編程界面,可以從WebView瀏覽器中訪問應用程序的某些Java軟件模塊的高級功能。但是,事實證明,通過將某些參數添加到URL中,可以立即訪問特定模塊的所有功能,而無需任何限制。結果:因此,攻擊者可以通過特殊的URL投入Tiktok應用機制並控制用戶帳戶。
為了避免這種問題,微軟提出了一些建議。他建議用戶永遠不要單擊來自不值得信賴的來源的鏈接。此外,該公司建議開發人員對“ Java Bridge”進行簡短的使用,並在必要時採用許多好的實踐。
來源 : 微軟
