Η Microsoft δήλωσε την περασμένη εβδομάδα ότι πρόσφατα εντόπισε μια ευπάθεια στην εφαρμογή του TikTok για την πλατφόρμα του Android, η οποία θα μπορούσε να επιτρέψει στους hackers να καταλάβουν λογαριασμούς όταν οι χρήστες δεν έκαναν τίποτα περισσότερο από το να κάνουν κλικ σε έναν μόνο κακόβουλο σύνδεσμο. Η κατασκευάστρια εταιρεία λογισμικού δήλωσε ότι ενημέρωσε το TikTok για την ευπάθεια τον Φεβρουάριο και ότι η εταιρεία μέσων κοινωνικής δικτύωσης με έδρα την Κίνα έχει έκτοτε διορθώσει την ευπάθεια η οποία φέρει την ονομασία CVE-2022-28799.
Η ευπάθεια βρισκόταν στον τρόπο με τον οποίο η εφαρμογή επαλήθευε αυτό που είναι γνωστό ως deeplinks, τα οποία είναι υπερσύνδεσμοι ειδικά για το Android για την πρόσβαση σε μεμονωμένα στοιχεία μέσα σε μια εφαρμογή για κινητά. Τα deeplinks πρέπει να δηλώνονται στο manifest μιας εφαρμογής για χρήση σε περιβάλλον εκτός αυτής. Έτσι, για παράδειγμα, κάποιος που κάνει κλικ σε έναν σύνδεσμο του TikTok σε ένα πρόγραμμα περιήγησης, τότε ανοίγει αυτόματα το σχετικό περιεχόμενο στην εφαρμογή του TikTok.
Μια εφαρμογή μπορεί επίσης να δηλώσει κρυπτογραφικά την εγκυρότητα μιας URL διεύθυνσης. Το TikTok στο Android, για παράδειγμα, δηλώνει τη διεύθυνση m.tiktok.com. Κανονικά, η εφαρμογή TikTok θα πρέπει να επιτρέπει τη φόρτωση περιεχομένου από το tiktok.com στο στοιχείο WebView, αλλά να απαγορεύει στο WebView να φορτώνει περιεχόμενο από άλλες διευθύνσεις.
«Η ευπάθεια επέτρεψε την παράκαμψη της επαλήθευσης deeplink της εφαρμογής», ανέφεραν οι ερευνητές της Microsoft. “Οι επιτιθέμενοι θα μπορούσαν να αναγκάσουν την εφαρμογή να φορτώσει μια αυθαίρετη διεύθυνση URL στο WebView της εφαρμογής, επιτρέποντας την παραχώρηση λειτουργικότητας στους επιτιθέμενους".
Οι ερευνητές δημιούργησαν ένα proof-of-concept exploit που έκανε ακριβώς αυτό. Περιελάμβανε την αποστολή σε έναν στοχευμένο χρήστη του TikTok ενός κακόβουλου συνδέσμου, ο οποίος, όταν έκανε κλικ, αποκτούσε τα tokens ελέγχου ταυτότητας που απαιτούν οι διακομιστές του TikTok από τους χρήστες για να αποδείξουν την κυριότητα του λογαριασμού τους.
«Μόλις ο ειδικά διαμορφωμένος κακόβουλος σύνδεσμος του hacker πατηθεί από τον στοχευμένο χρήστη του TikTok, ο server του επιτιθέμενου αποκτά πλήρη πρόσβαση στη JavaScript bridge και μπορεί να επικαλεστεί οποιαδήποτε εκτεθειμένη λειτουργικότητα», έγραψαν οι ερευνητές. Τέλος η Microsoft δήλωσε ότι δεν έχει αποδείξεις ότι η ευπάθεια αξιοποιήθηκε ενεργά από κάποιον.