Getty Images
Microsoft ha dichiarato mercoledì di aver recentemente identificato una vulnerabilità nell’app Android di TikTok che potrebbe consentire agli aggressori di dirottare gli account quando gli utenti non fanno altro che fare clic su un singolo collegamento sbagliato. Il produttore di software ha affermato di aver notificato a TikTok la vulnerabilità a febbraio e che la società di social media con sede in Cina ha da allora corretto il difetto, che è tracciato come CVE-2022-28799.
La vulnerabilità risiede nel modo in cui l’app verifica i cosiddetti deep link, che sono collegamenti ipertestuali specifici di Android per accedere ai singoli componenti all’interno di un’applicazione mobile. I deep link devono essere dichiarati nel manifest dell’app per l’uso al di fuori dell’app, quindi, ad esempio, una persona che fa clic su un link TikTok nel browser ha il contenuto automaticamente aperto nell’app TikTok.
L’app può anche annunciare in modo criptico la validità di un dominio URL. TikTok su Android, ad esempio, pubblicizza il dominio m.tiktok.com. Normalmente, TikTok consentirà il caricamento di contenuti da tiktok.com nel suo componente WebView ma impedirà a WebView di caricare contenuti da altri domini.
“La vulnerabilità ha consentito di aggirare la verifica del collegamento profondo dell’applicazione”, hanno scritto i ricercatori. “Gli aggressori possono forzare l’applicazione a caricare un URL casuale nella visualizzazione Web dell’applicazione, che quindi consente all’URL di accedere ai bridge JavaScript collegati alla visualizzazione Web e di concedere funzionalità agli aggressori”.
I ricercatori hanno continuato a creare un exploit proof-of-concept che ha fatto proprio questo. Implicava l’invio di un collegamento dannoso a un utente TikTok mirato, che, quando veniva cliccato, otteneva i codici di autenticazione richiesti dai server TikTok affinché gli utenti verificassero la proprietà del proprio account. Il linker PoC ha anche cambiato la biografia del profilo dell’utente target per visualizzare il testo “!! SECURITY BREACH!!”
Una volta che il collegamento dannoso progettato specificamente per l’attaccante viene cliccato dall’utente TikTok preso di mira, il server dell’attaccante, https://www.attacker[.]com/poc, ha pieno accesso al bridge JavaScript e può chiamare qualsiasi funzione esposta”, hanno scritto i ricercatori. Il server dell’attaccante restituisce una pagina HTML contenente codice JavaScript per inviare i codici di caricamento video all’attaccante e modificare una biografia”.
Microsoft ha affermato di non avere prove che la vulnerabilità sia stata attivamente sfruttata in natura.
