Korporacja opublikowała informację opisującą szczegółowo lukę (nazywając ją zagrożeniem typu „one click”), którą wykrył w aplikacji TikTok uruchamianej na urządzeniach Android jeden z uczestników firmowego programu bug bounty. Powoduje ona iż po kliknięciu przez użytkownika określonego linku, haker jest w stanie przejąć jego konto.
Dobra wiadomość jest taka, że twórcy aplikacji zareagowali bardzo szybko na przekazaną im informację o tym zagrożeniu i opracowali już poprawkę, która je likwiduje. Podatność oznaczono numerem CVE-2022-28799 (patrz tutaj szczegółowy opis) i ci wszyscy użytkownicy aplikacji TikTok, którzy nie zdążyli zainstalować likwidującej ją poprawki, proszeni są o to aby zrobili to jak najszybciej.
Podatność znajduje się w interfejsie aplikacji, konkretnie w komponencie WebView. Luka wynika ze sposobu, w jaki programiści TikToka zaimplementowali interfejsy JavaScript w komponencie WebView. Zagrożeni są ci wszyscy użytkownicy androidowej aplikacji TikTok, którzy zainstalowani starszą wersję niż 23.7.3. Luka w zabezpieczeniach dotyczy sposobu, w jaki aplikacja TikTok obsługuje niektóre łączą (chodzi o odnośniki deeplink) w systemie Android.
Zobacz również:
Trzeba jednak pamiętać o tym, że istnieją dwie wersje aplikacji TikTok na Androida. Jedna wersja (chodzi o pakiet noszący nazwę pakietu com.ss.android.ugc.trill) jest używana w Azji, a druga (pakiet com.zhiliaoapp.musically) jest używana w pozostałych regionach.
I na koniec generalna uwaga Microsoftu dotyczącą tej podatności. Firma uważa, że programiści powinny wystrzegać się projektowania interfejsów z wykorzystanie języka JavaScript. Metoda taka stwarza poważne ryzyko popełnienia błędu, który może potencjalnie umożliwić atakującym wykonanie kodu przy użyciu identyfikatora aplikacji i uprawnień. Microsoft już wcześniej dość szczegółowo opisywał błędy popełniane przez deweloperów interfejsów, którzy posługują się językiem JavaScript. Microsoft zaleca programistom korzystanie z zatwierdzonej listy zaufanych domen obsługiwanych przez komponent WebView, co pozwala zapobiec ładowaniu złośliwych treści internetowych.
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS