باگ Tik Tok فرصتی را برای سرقت حساب های کاربری افراد تنها با کلیک بر روی یک پیوند فراهم می کند

مایکروسافت یک نقص امنیتی مهم را در برنامه TikTok برای اندروید کشف کرده است که به مهاجمان اجازه می‌دهد تا با فریب دادن آنها برای کلیک کردن روی یک پیوند، حساب‌های کاربری را سرقت کنند. راستی دیمیتریوس والساماراسخوشبختانه، توسعه دهندگان ByteDance، شرکت مادر TikTok، پس از کشف این آسیب پذیری، به سرعت آن را اصلاح کردند.

لازم به ذکر است که محققان امنیتی مایکروسافت این باگ را از طریق برنامه Bounty Vulnerability به تیک توک گزارش کردند. نقص امنیتی TikTok به عنوان CVE-2022-28799 شناسایی شده است، و اگرچه این مشکل اکنون برطرف شده است، مایکروسافت توصیه می کند که همه کاربران TikTok در اندروید آن را در اسرع وقت به روز کنند.

نقص امنیتی TikTok در رابط کاربری جاوا اسکریپت آن نهفته است که می تواند از طریق مؤلفه WebView در نسخه اندروید آن استفاده شود. اپلیکیشن اندروید این پلتفرم اجتماعی 1.5 میلیارد بار از فروشگاه گوگل پلی دانلود شده است. WebView جزء اندروید است و به اپلیکیشن های این سیستم عامل که با زبان جاوا و کاتلین نوشته شده است اجازه می دهد تا محتوای وب مورد نظر را به کاربر نمایش دهد. در بخشی از توضیحات CVE-2022-28799 آمده است:

نسخه 23.7.3 و نسخه قبلی TikTok برای اندروید به هکر اجازه می دهد تا با کلیک روی یک پیوند، حساب های افراد را تحت کنترل خود درآورد. در واقع، مهاجم از رابط جاوا اسکریپت پیوست شده برای تصاحب حساب کاربری هدف با یک کلیک استفاده می کند.

تیک تاک

والساماراس در پست وبلاگ خود اشاره می کند که دو نسخه از برنامه TikTok برای اندروید وجود دارد، یکی با نام بسته com.ss.android.ugc.trill برای شرق و جنوب شرق آسیا و دیگری با نام بسته com.zhiliaoapp.musically. برای بقیه دنیا و این آسیب پذیری در هر دو نسخه وجود دارد. والساماراس می نویسد:

ما تلاش های کارآمد و حرفه ای تیم امنیتی TikTok را تحسین می کنیم. همچنین به تمامی کاربران این اپلیکیشن توصیه می کنیم آن را به آخرین نسخه به روز کنند.

آسیب پذیری موجود در نسخه اندروید TikTok ناشی از رابط های جاوا اسکریپت است که توسعه دهندگان این برنامه در WebView پیاده سازی کرده اند. این رابط می تواند عملکردی شبیه پل ارائه دهد. بنابراین کد جاوا اسکریپت در یک صفحه وب متدهایی را بر اساس زبان برنامه نویسی جاوا یا کلاس خاصی در برنامه فراخوانی می کند. والساماراس در بخشی از توضیحات خود می گوید:

بارگیری محتوای وب غیرقابل اعتماد در یک WebView با اشیاء قابل دسترسی از طریق کد جاوا اسکریپت، برنامه را در برابر تزریق کد آسیب پذیر می کند و می تواند منجر به نشت داده ها یا خرابی داده ها یا گاهی اوقات منجر به اجرای کد دلخواه توسط هکر شود.

با این حال، به گفته والساماراس، آسیب‌پذیری واقعی در روشی است که اپلیکیشن TikTok پیوندهای عمیق را در اندروید انجام می‌دهد. توسعه دهندگان می توانند از پیوندهای عمیق برای اتصال به یک جزء انتخاب شده در برنامه استفاده کنند.

  اپل با BOE برای تحویل نمایشگر به آیفون 14 به توافق رسیده است

Valsamaras خاطرنشان می‌کند که وقتی کاربران روی این نوع پیوندها کلیک می‌کنند، مدیر بسته اندروید همه برنامه‌های نصب‌شده را بررسی می‌کند تا ببیند کدام یک ممکن است به پیوند مذکور پاسخ دهند و سپس آنها را به شرکتی که به‌عنوان کنترل‌کننده اعلام شده است هدایت می‌کند. پیاده‌سازی رابط‌های جاوا اسکریپت TikTok تأثیر آسیب‌پذیری آن را آشکار کرد. والساماراس می نویسد:

در حین بررسی نحوه مدیریت پیوندهای عمیق در برنامه، چندین مشکل را کشف کردیم که وقتی با هم مرتبط می شوند، می توانند برای وادار کردن برنامه به بارگذاری یک URL دلخواه در WebView برنامه استفاده شوند.

مقاله مرتبط:

مایکروسافت بیش از 70 روش واضح را هنگام بررسی عملکرد قابل دسترسی کد جاوا اسکریپت در صفحات وب بارگذاری شده در WebView کشف کرد. ترکیب این آسیب‌پذیری با روش‌های افشا شده به مهاجمان این امکان را می‌دهد تا فرصت‌های بیشتری برای مشاهده و اصلاح داده‌های شخصی کاربران آسیب‌دیده داشته باشند.

با فراخوانی روش های ذکر شده، مهاجم می تواند با ارسال درخواست به سرور کنترل شده و ثبت یک کوکی در هدر درخواست، توکن های احراز هویت کاربر را شناسایی کند. علاوه بر این، مهاجم می‌تواند داده‌های حساب TikTok کاربر، از جمله ویدیوهای خصوصی و تنظیمات نمایه را استخراج یا تغییر دهد. والساماراس می گوید:

به طور خلاصه، یک عامل مخرب با کنترل هر روشی که می‌تواند درخواست‌های HTTP احراز هویت شده را انجام دهد، یک حساب TikTok را به خطر می‌اندازد.

مایکروسافت معتقد است که استفاده از رابط های جاوا اسکریپت ایده خوبی نیست و خطرات جدی را به دنبال خواهد داشت. زیرا این روش به طور بالقوه می تواند به مهاجمان اجازه دهد تا کد مورد نظر را با استفاده از شناسه برنامه و امتیازات اجرا کنند. پیش از این، این شرکت نقص های دقیقی در رابط های جاوا اسکریپت در چندین برنامه محبوب اندرویدی دیگر داشت.

  اولین به روز رسانی امنیتی برای سامسونگ در ژانویه 2021 به Galaxy S21 FE رسید

ردموند توصیه می‌کند که توسعه‌دهندگان به جای آن از فهرستی از دامنه‌های مورد اعتماد برای بارگیری URLهای WebView استفاده کنند تا از بارگیری محتوای وب مخرب یا نامعتبر جلوگیری کنند. گوگل همچنین صفحه ای را برای توسعه دهندگان اپلیکیشن اندروید منتشر کرد تا از آن برای رفع آسیب پذیری های تزریق کد در رابط جاوا اسکریپت استفاده کنند.

دیدگاهتان را بنویسید