Microsoft menemukan kerentanan TikTok yang memungkinkan kompromi akun satu-klik

Gambar Getty

Microsoft mengatakan pada hari Rabu bahwa mereka baru-baru ini mengidentifikasi kerentanan dalam aplikasi Android TikTok yang dapat memungkinkan penyerang untuk membajak akun ketika pengguna tidak melakukan apa-apa selain mengklik satu tautan yang salah. Pembuat perangkat lunak mengatakan telah memberi tahu TikTok tentang kerentanan pada bulan Februari dan bahwa perusahaan media sosial yang berbasis di China telah memperbaiki kekurangan tersebut, yang dilacak sebagai CVE-2022-28799.

Kerentanan terletak pada bagaimana aplikasi memverifikasi apa yang dikenal sebagai tautan dalam, yang merupakan tautan khusus Android untuk mengakses komponen individual dalam aplikasi seluler. Tautan dalam harus dideklarasikan dalam manifes aplikasi untuk digunakan di luar aplikasi sehingga, misalnya, seseorang yang mengeklik tautan TikTok di browser memiliki konten yang dibuka secara otomatis di aplikasi TikTok.

Aplikasi juga dapat mendeklarasikan validitas domain URL secara kriptografis. TikTok di Android, misalnya, mendeklarasikan domain m.tiktok.com. Biasanya, aplikasi TikTok akan mengizinkan konten dari tiktok.com untuk dimuat ke dalam komponen WebView-nya tetapi melarang WebView memuat konten dari domain lain.

“Kerentanan memungkinkan verifikasi tautan dalam aplikasi dilewati,” tulis para peneliti. “Penyerang dapat memaksa aplikasi untuk memuat URL arbitrer ke WebView aplikasi, memungkinkan URL untuk kemudian mengakses jembatan JavaScript terlampir WebView dan memberikan fungsionalitas kepada penyerang.”

Para peneliti melanjutkan untuk membuat eksploitasi bukti konsep yang melakukan hal itu. Ini melibatkan pengiriman tautan berbahaya kepada pengguna TikTok yang ditargetkan, yang ketika diklik, memperoleh token otentikasi yang diperlukan server TikTok bagi pengguna untuk membuktikan kepemilikan akun mereka. Tautan PoC juga mengubah bio profil pengguna yang ditargetkan untuk menampilkan teks “!! SECURITY BREACH !!”

“Setelah tautan berbahaya yang dibuat khusus oleh penyerang diklik oleh pengguna TikTok yang ditargetkan, server penyerang, https://www.attacker[.]com/poc, diberikan akses penuh ke jembatan JavaScript dan dapat menjalankan fungsi apa pun yang terbuka,” tulis para peneliti. “Server penyerang mengembalikan halaman HTML yang berisi kode JavaScript untuk mengirim token unggahan video kembali ke penyerang serta mengubah pengguna biografi profil.”

Microsoft mengatakan tidak memiliki bukti kerentanan dieksploitasi secara aktif di alam liar.

Leave a Comment