抖音海外版TikTok深度链接曝高危漏洞,可劫持账户窃取数据

Microsoft发现针对Tiktok Android应用的严重的“一键”利用

最近的网络安全研究中,微软披露了 TikTok Android应用程序中目前已修复的高危漏洞详细信息,如果目标用户只是单击特制的链接,攻击者可能会利用该漏洞在用户不知情的情况下劫持帐户。

成功利用该漏洞攻击者可以访问和修改用户的 TikTok 个人资料和敏感信息,从而导致未经授权的私人视频曝光。攻击者还可能滥用该漏洞代表用户发送消息和上传视频。

该漏洞已在TikTok 23.7.3 版本中解决,影响其 Android 应用程序 com.ss.android.ugc.trill(适用于东亚和东南亚用户)和 com.zhiliaoapp.musically(适用于除印度以外的其他国家的用户)。这两个程序包总共的安装量超15亿次,漏洞的影响面巨大。

Microsoft发现针对Tiktok Android应用的严重的“一键”利用

该漏洞的漏洞号为 CVE-2022-28799(CVSS 评分 8.8),该漏洞与应用程序处理所谓的深度链接有关,这是一种特殊的超链接,允许应用程序在设备上安装的另一个应用程序中打开特定资源,而不是用于访问网站。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,特殊制作的 URL(未经验证的深层链接)可以强制 com.zhiliaoapp.musically 应用程序的 WebView 加载任意网站,这使得攻击者可以利用附加的 JavaScript 界面一键进行接管。

Microsoft发现针对Tiktok Android应用的严重的“一键”利用

简而言之,该漏洞可以绕过应用程序的限制,拒绝不受信任的主机并通过 Android 系统的 WebView 加载攻击者指定的网址,这是一种在其他应用程序上显示 Web 内容的机制。

过滤发生在服务器端,加载或拒绝 URL 的决定是基于从特定 HTTP GET 请求收到的回复,在静态分析时发现有可能绕过服务器,通过向深度链接添加两个附加参数来进行侧面检查。

这种旨在劫持 WebView 以加载流氓网站的漏洞利用的结果是,它可能允许攻击者调用 70 多个暴露的 TikTok 端点,从而有效地损害用户的个人资料完整性。

微软指出,从编程开发的角度来看,使用 JavaScript 接口会带来很大的风险,受损的 JavaScript 界面可能允许攻击者使用应用程序的 ID 和权限执行代码。

 

抖音海外版TikTok深度链接曝高危漏洞,可劫持账户窃取数据

极牛网精选文章《抖音海外版TikTok深度链接曝高危漏洞,可劫持账户窃取数据》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/20758.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年9月1日 上午11:42
下一篇 2022年9月4日 上午11:24

相关推荐

发表回复

登录后才能评论