Microsoft обнаружила возможность взлома TikTok одной ссылкой

Уязвимость заключалась в том, как приложение проверяло так называемые “глубокие ссылки”, которые являются специфическими для Android гиперссылками для доступа к отдельным компонентам в мобильном приложении. Например, если кто-то нажимает на характерную TikTok-ссылку в браузере, ее содержимое автоматически открывается в приложении TikTok.

Приложение также может криптографически декларировать достоверность домена URL. TikTok на Android, например, декларирует домен m.tiktok.com. Обычно приложение TikTok разрешает загрузку контента с сайта tiktok.com в свой компонент WebView, но запрещает WebView загружать контент с других доменов.

"Уязвимость позволяла обойти проверку глубоких ссылок в приложении", - пишут исследователи. "Злоумышленники могли заставить приложение загрузить произвольный URL в WebView приложения, что позволяло URL получить доступ к подключенным JavaScript-мостам WebView и предоставить функциональность злоумышленникам".

Исследователи создали пробный вариант эксплойта, который именно это и делал. Она заключалась в отправке целевому пользователю TikTok вредоносной ссылки, которая, при нажатии, получала токены аутентификации, которые серверы TikTok требуют от пользователей для подтверждения владения их аккаунтом.

Microsoft заявила, что у нее нет доказательств того, что уязвимость активно эксплуатируется злоумышленниками.