Ai fost piratat? Microsoft a găsit o eroare

Vulnerabilitatea identificată sub referința CVE-2022-28799 a fost acum remediată: Microsoft a anunțat șeful TikTok Bytedance despre aceasta în februarie. Cu toate acestea, dacă contul dvs. TikTok a fost spart în această perioadă, este probabil ca hackerii să fi putut exploata acest defect de securitate. În special, o vulnerabilitate în sistemul de verificare a legăturilor profunde al aplicației Android a permis hackerilor să genereze linkuri false, permițându-le să preia controlul asupra oricărui cont de îndată ce victima a făcut clic pe el. Când legăturile profunde sunt navigate în afara aplicației, acestea sunt de obicei verificate.

Microsoft explică că hackerii de comentarii vă pot sparge contul TikTok cu un link simplu

Pentru a face acest lucru, TikTok verifică prezența lor în manifest. Aplicația poate efectua și operațiuni criptografice pentru a autentifica legătura. prin acest tip de linkuri, aplicația TikTok vă permite să afișați codul de pe tiktok.com numai în browserul WebView încorporat. În același timp, interzice descărcarea de conținut de pe alte domenii. Dar cu acest neajuns, hackerii pot ocoli această limitare și pot obține acces la poduri javascript securizate pentru a obține controlul. Verificare totală. În acest comentariu, Microsoft descrie defectul după cum urmează: „Această vulnerabilitate a permis ocolirea verificărilor de legături profunde ale aplicației. Hackerii pot forța o aplicație să încarce o adresă URL arbitrară în componenta WebView a aplicației, ceea ce ar permite adresei URL specificate să acceseze podurile JavaScript ale componentei și, astfel, să ofere funcționalitate hackerilor”, explică cercetătorii companiei. Cercetătorii au reușit să exploateze ei înșiși vulnerabilitatea în demonstrație. Aceasta a implicat trimiterea unui link rău intenționat care, după tranziție, a luat token-urile de autentificare ale victimei pentru a se conecta apoi la serverele TikTok și a autentifica deschiderea. sesiune. Ei au arătat că este. posibil să încărcați videoclipuri și să schimbați biografia victimei. Citește și – TikTok – bug permite aplicației să-ți vadă toate parolele pe iPhone. Apărarea împotriva acestor tipuri de atacuri poate fi dificilă, mai ales atunci când nu se știe neapărat ce este o astfel de schemă. posibil. Cu toate acestea, ca întotdeauna, ar trebui să fiți mereu atenți la link-urile de la contacte nedemne de încredere.

Leave a Comment

Your email address will not be published.