A Microsoft disse em 31 de agosto que recentemente identificou um vulnerabilidade dentro TikTok's Android aplicativo que poderia permitir que invasores sequestrassem contas quando os usuários não fizessem nada além de clicar em um único link errante. A fabricante de software disse que notificou o TikTok sobre a vulnerabilidade em fevereiro e que a empresa de mídia social com sede na China corrigiu a falha, que é rastreada como CVE-2022-28799.
A vulnerabilidade residia em como o aplicativo verificava o que é conhecido como links profundos, que são hiperlinks específicos do Android para acessar componentes individuais em um aplicativo móvel. Os links diretos devem ser declarados no manifesto de um aplicativo para uso fora do aplicativo — portanto, por exemplo, alguém que clica em um link do TikTok em um navegador tem o conteúdo aberto automaticamente no aplicativo TikTok.
Um aplicativo também pode declarar criptograficamente a validade de um domínio de URL. O TikTok no Android, por exemplo, declara o domínio m.tiktok.com. Normalmente, o aplicativo TikTok permite que o conteúdo do tiktok.com seja carregado em seu componente WebView, mas proíbe o WebView de carregar conteúdo de outros domínios.
“A vulnerabilidade permitiu que a verificação de link direto do aplicativo fosse ignorada”, escreveram os pesquisadores. “Os invasores podem forçar o aplicativo a carregar um URL arbitrário no WebView do aplicativo, permitindo que o URL acesse as pontes JavaScript anexadas do WebView e conceda funcionalidade aos invasores.”
Os pesquisadores passaram a criar uma exploração de prova de conceito que fez exatamente isso. Envolvia enviar a um usuário do TikTok um link malicioso que, quando clicado, obtinha os tokens de autenticação que os servidores do TikTok exigem para que os usuários provem a propriedade de sua conta. O link também alterou a biografia do perfil do usuário segmentado para exibir o texto "!! VIOLAÇÃO DE SEGURANÇA !!"
“Uma vez que o link malicioso especialmente criado pelo invasor é clicado pelo usuário do TikTok, o servidor do invasor, https://www.attacker[.]com/poc, tem acesso total à ponte JavaScript e pode invocar qualquer funcionalidade exposta”, escreveram os pesquisadores. “O servidor do invasor retorna uma página HTML contendo código JavaScript para enviar tokens de upload de vídeo de volta ao invasor, bem como alterar a biografia do perfil do usuário.”
Microsoft disse que não há evidências de que a vulnerabilidade tenha sido explorada ativamente na natureza.