A Microsoft encontrou uma vulnerabilidade no TikTok que permitia reconciliações de contas com um clique

A Microsoft disse na quarta-feira que identificou recentemente uma vulnerabilidade no aplicativo Android do TikTok que pode permitir que invasores sequestrem contas quando os usuários não fazem nada além de clicar em um único link errado. A fabricante de software disse que notificou o TikTok sobre a vulnerabilidade em fevereiro e que a empresa de mídia social com sede na China corrigiu a falha, que é rastreada como CVE-2022-28799.

A vulnerabilidade está em como o aplicativo verifica os chamados links diretos, que são hiperlinks específicos do Android para acessar componentes individuais em um aplicativo móvel. Os links diretos devem ser declarados no manifesto do aplicativo para uso fora do aplicativo, portanto, por exemplo, uma pessoa que clica em um link do TikTok no navegador tem o conteúdo aberto automaticamente no aplicativo TikTok.

O aplicativo também pode anunciar de forma criptográfica a validade de um domínio de URL. O TikTok no Android, por exemplo, anuncia o domínio m.tiktok.com. Normalmente, o TikTok permite que o conteúdo do tiktok.com seja carregado em seu componente WebView, mas impede que o WebView carregue conteúdo de outros domínios.

“A vulnerabilidade permitiu que a verificação de link direto do aplicativo fosse ignorada”, escreveram os pesquisadores. “Os invasores podem forçar o aplicativo a carregar um URL aleatório no WebView do aplicativo, o que permite que o URL acesse pontes JavaScript anexadas ao WebView e conceda funcionalidade aos invasores”.

Os pesquisadores continuaram a criar uma exploração de prova de conceito que fez exatamente isso. Envolvia o envio de um link malicioso para um usuário alvo do TikTok, que, quando clicado, obtinha os códigos de autenticação que os servidores TikTok exigem para os usuários verificarem a propriedade de sua conta. O linker PoC também alterou a biografia do perfil do usuário de destino para exibir o texto “!! SECURITY BREACH!!”

Depois que o link malicioso projetado especificamente para o invasor for clicado pelo usuário do TikTok visado, o servidor do invasor, https://www.attacker[.]com/poc, tem acesso total à ponte JavaScript e pode chamar qualquer função exposta”, escreveram os pesquisadores. O servidor do invasor retorna uma página HTML contendo código JavaScript para enviar os códigos de upload de vídeo para o invasor, bem como alterar uma biografia.”

A Microsoft disse não ter evidências de que a vulnerabilidade tenha sido explorada ativamente na natureza.