ゲッティイメージズ
Microsoft は水曜日に、TikTok の Android アプリに、ユーザーが 1 つの誤ったリンクをクリックしただけで、攻撃者がアカウントを乗っ取ることができる脆弱性を最近確認したと発表しました。 このソフトウェア メーカーは、2 月に TikTok にこの脆弱性を通知し、その後、中国を拠点とするソーシャル メディア企業が CVE-2022-28799 として追跡されている脆弱性を修正したと述べました。
この脆弱性は、モバイル アプリ内の個々のコンポーネントにアクセスするための Android 固有のハイパーリンクである、いわゆるディープリンクをアプリが検証する方法に存在していました。 ディープリンクは、アプリの外部で使用するためにアプリのマニフェストで宣言する必要があります。たとえば、ブラウザーで TikTok リンクをクリックすると、コンテンツが TikTok アプリで自動的に開かれます。
アプリは、URL ドメインの有効性を暗号で宣言することもできます。 たとえば、Android の TikTok は、ドメイン m.tiktok.com を宣言します。 通常、TikTok アプリは tiktok.com からのコンテンツをその WebView コンポーネントにロードすることを許可しますが、WebView が他のドメインからコンテンツをロードすることを禁止します。
「この脆弱性により、アプリのディープリンク検証がバイパスされる可能性がありました」と研究者は書いています。 「攻撃者は、アプリに任意の URL をアプリの WebView にロードさせ、その URL が WebView に接続された JavaScript ブリッジにアクセスして、機能を攻撃者に付与できるようにする可能性があります。」
研究者たちは、まさにそれを行う概念実証のエクスプロイトを作成しました。 標的の TikTok ユーザーに悪意のあるリンクを送信し、クリックすると、ユーザーがアカウントの所有権を証明するために TikTok サーバーが必要とする認証トークンを取得しました。 また、PoC リンクは、対象ユーザーのプロフィール バイオを変更して、「!! SECURITY BREACH !!」というテキストを表示しました。
「攻撃者が特別に作成した悪意のあるリンクが標的の TikTok ユーザーによってクリックされると、攻撃者のサーバー https://www.attacker[.]com/poc は、JavaScript ブリッジへのフル アクセスを許可されており、公開されている機能を呼び出すことができます」と研究者は書いています。プロフィール略歴」。
Microsoft は、この脆弱性が実際に積極的に悪用されたという証拠はないと述べています。
