A A+ A++

Korporacja opublikowała informację opisującą szczegółowo lukę (nazywając ją zagrożeniem typu „one click”), którą wykrył w aplikacji TikTok uruchamianej na urządzeniach Android jeden z uczestników firmowego programu bug bounty. Powoduje ona iż po kliknięciu przez użytkownika określonego linku, haker jest w stanie przejąć jego konto.

Dobra wiadomość jest taka, że twórcy aplikacji zareagowali bardzo szybko na przekazaną im informację o tym zagrożeniu i opracowali już poprawkę, która je likwiduje. Podatność oznaczono numerem CVE-2022-28799 (patrz tutaj szczegółowy opis) i ci wszyscy użytkownicy aplikacji TikTok, którzy nie zdążyli zainstalować likwidującej ją poprawki, proszeni są o to aby zrobili to jak najszybciej.

Podatność znajduje się w interfejsie aplikacji, konkretnie w komponencie WebView. Luka wynika ze sposobu, w jaki programiści TikToka zaimplementowali interfejsy JavaScript w komponencie WebView. Zagrożeni są ci wszyscy użytkownicy androidowej aplikacji TikTok, którzy zainstalowani starszą wersję niż 23.7.3. Luka w zabezpieczeniach dotyczy sposobu, w jaki aplikacja TikTok obsługuje niektóre łączą (chodzi o odnośniki deeplink) w systemie Android.

Zobacz również:

Trzeba jednak pamiętać o tym, że istnieją dwie wersje aplikacji TikTok na Androida. Jedna wersja (chodzi o pakiet noszący nazwę pakietu com.ss.android.ugc.trill) jest używana w Azji, a druga (pakiet com.zhiliaoapp.musically) jest używana w pozostałych regionach.

I na koniec generalna uwaga Microsoftu dotyczącą tej podatności. Firma uważa, że programiści powinny wystrzegać się projektowania interfejsów z wykorzystanie języka JavaScript. Metoda taka stwarza poważne ryzyko popełnienia błędu, który może potencjalnie umożliwić atakującym wykonanie kodu przy użyciu identyfikatora aplikacji i uprawnień. Microsoft już wcześniej dość szczegółowo opisywał błędy popełniane przez deweloperów interfejsów, którzy posługują się językiem JavaScript. Microsoft zaleca programistom korzystanie z zatwierdzonej listy zaufanych domen obsługiwanych przez komponent WebView, co pozwala zapobiec ładowaniu złośliwych treści internetowych.

Oryginalne źródło: ZOBACZ
0
Udostępnij na fb
Udostępnij na twitter
Udostępnij na WhatsApp

Oryginalne źródło ZOBACZ

Subskrybuj
Powiadom o

Dodaj kanał RSS

Musisz być zalogowanym aby zaproponować nowy kanal RSS

Dodaj kanał RSS
0 komentarzy
Informacje zwrotne w treści
Wyświetl wszystkie komentarze
Poprzedni artykułFrieze's inaugural Asian edition bets on South Korea as the region's next major art market
Następny artykułStrajk w łódzkim MPK