Microsoftは水曜日に、TikTokのAndroid アプリに、ユーザーが 1 つの誤ったリンクをクリックしただけで、攻撃者がアカウントを乗っ取ることができる脆弱性を最近確認したと発表しました。
このソフトウェア メーカーは、2 月、 TikTokにこの脆弱性を通知し、その後、中国を拠点とするソーシャル メディア企業が CVE-2022-28799 として追跡されている脆弱性を修正したと述べました。
この脆弱性は、モバイル アプリ内の個々のコンポーネントにアクセスするための Android 固有のハイパーリンクである、いわゆるディープリンクをアプリが検証する方法に存在していました。
ディープリンクは、アプリの外部で使用するためにアプリのマニフェストで宣言する必要があります。たとえば、ブラウザーで TikTokリンクをクリックすると、コンテンツが TikTokアプリで自動的に開かれます。
「この脆弱性により、アプリのディープリンク検証がバイパスされる可能性がありました」と研究者は書いています。「攻撃者は、アプリに強制的に任意の URL をアプリの WebViewに読み込ませ、その URL が WebViewに接続された JavaScript ブリッジにアクセスし、攻撃者に機能を付与できるようにする可能性があります。」
「攻撃者が特別に作成した悪意のあるリンクがターゲットの TikTok ユーザーによってクリックされると、攻撃者のサーバー https://www.attacker[.]com/poc は JavaScript ブリッジへのフル アクセスを許可され、公開された機能を呼び出すことができます。」研究者は書いています。「攻撃者のサーバーは、JavaScript コードを含む HTML ページを返し、動画のアップロード トークンを攻撃者に送り返し、ユーザーのプロフィールの経歴を変更します。」
Microsoftは、この脆弱性が実際に積極的に悪用されたという証拠はないと述べています。
(via Arts Technica)
Last Updated on 2022年9月2日 by Editor
※このサイトの記事には「噂」や「疑惑」など、不確定な情報が含まれています。ご了承ください。(管理人)
