В TikTok нашли критические уязвимости

В популярном китайском приложении TikTok обнаружили несколько уязвимостей, которые позволяют злоумышленникам захватывать и управлять целевым аккаунтом пользователя соцсети. В исследовании Check Point раскрыты уязвимости в системе TikTok. На официальном сайте соцсети есть функция, которая позволяет пользователям отправлять себе SMS для загрузки приложения. Злоумышленники могут использовать эту опцию для отправки поддельного SMS жертве. Перехватив HTTP-запрос, они получают в свое распоряжение номер телефона (параметр Mobile) и возможность подменить ссылку, которая появится в SMS (параметр download_url). В итоге пользователь, доверяющий источнику, закачает поддельное приложение со всеми вытекающими последствиями.
Подмена ссылки во входящем SMS Кроме того, исследователи нашли уязвимость на стороне Android-приложения TikTok, которое имеет функцию "глубоких ссылок" для вызова "Intents-намерений" Intent - асинхронное сообщение, позволяющее компонентам приложения отправлять запрос на функционал других компонентов Android. В частности, в TikTok такой метод используется для реализации схем "https://m.tiktok.com" и "musically://". Злоумышленники, используя уязвимость SMS Link Spoofing, могут отправить пользователю ссылку, содержащую одну из указанных схем. В итоге мобильное приложение откроет окно браузера и перейдёт на поддельную веб-страницу. Перейдя по подмененной ссылке, пользователь будет перенаправлен на сторонний сайт. Процесс перенаправления имеет уязвимость, поскольку при проверке параметр redirect_url не контролируется должным образом. В частности, целевой сайт должен заканчиваться на "tiktok.com", то есть, злоумышленник может перенаправить пользователя на что-либо с "tiktok.com", например, "attacker-tiktok.com". Перенаправление открывает возможность выполнения межсайтовых сценариев (XSS), подделки межсайтовых запросов (CSRF-атака) и раскрытия конфиденциальных данных без согласия пользователя. В итоге злоумышленники могут выполнять следующие действия:

• захват учетных записей TikTok и управление их содержанием;
• удаление видео;
• загрузка неавторизованных видео;
• установка статуса "общедоступные" для "скрытых" видео;
• получение личной информации из учётной записи, например, адреса электронной почты.

В Check Point Research сообщили, что проинформировали разработчиков TikTok об уязвимостях, которые уже устранены. В 2019 году у соцсети насчитывалось более миллиарда пользователей (75 языков, 150 рынков), в основном, дети и подростки. Приложение используют для создания музыкальных клипов и обмена короткими видео-роликами. Вместе с тем, у одного из наиболее загружаемых сервисов в мире есть и другие проблемы, связанные с его китайской "пропиской". ВМС США запретили своим сотрудникам использовать TikTok, а американская армия "забанила" приложение на служебных телефонах, хотя еще совсем недавно использовала его в качестве инструмента для набора персонала. Ссылка на источник