We use cookies to ensure that we give you the best experience on our website.

TikTokの重大な脆弱性によりワンクリックでアカウントハイジャックが可能に

Microsoft 365 Defender の研究者ブログ投稿は水曜日、TikTok Android アプリケーションに「高重大度」の脆弱性を発見したことを明らかにしました。この脆弱性により、攻撃者はワンクリックでユーザーのアカウントを乗っ取ることができます。

この問題は、2022 年 2 月に TikTok を通じて報告されました。脆弱性報告ページ最初の公開から 1 か月以内にリリースされたアップデートに修正が含まれていました。

重大度の高い脆弱性として追跡されています。CVE-2022-28799Microsoftによると、スコアは8.3で、特にAndroidバージョン23.7.3以下のTikTokに影響を及ぼし、悪用するにはいくつかの問題を連鎖させる必要があり、実際には使用されなかったという。

Microsoft 365 Defender Research Team の Dimitrios Valsamaras 氏は、「標的となったユーザーが特別に細工されたリンクをクリックしただけであれば、攻撃者はこの脆弱性を悪用し、ユーザーが気付かないうちにアカウントを乗っ取ることができた可能性があります」と述べています。

「その後、攻撃者は、プライベートビデオを公開したり、メッセージを送信したり、ユーザーに代わってビデオをアップロードしたりするなどして、ユーザーのTikTokプロフィールや機密情報にアクセスし、変更することができた可能性があります。」

この脆弱性により、アプリのディープリンク検証がバイパスされる可能性がありました。攻撃者は、アプリに任意の URL をアプリの WebView にロードさせ、その URL が WebView に接続された JavaScript ブリッジにアクセスして、攻撃者に機能を許可する可能性があります。

この欠陥を悪用するために、研究者らは、WebView と呼ばれる Android オペレーティング システムのコンポーネントによって提供される、アプリの JavaScript インターフェイスの実装に依存しました。

WebView を使用すると、アプリケーションは Web ページをロードして表示できます。また、addJavaScriptインターフェースWeb ページ内の JavaScript コードがアプリ内の特定のクラスの特定の Java メソッドを呼び出せるようにするブリッジ機能を提供する API 呼び出し。

「JavaScript コード経由でアクセスできるアプリケーション レベルのオブジェクトを含む信頼できない Web コンテンツを WebView に読み込むと、アプリケーションが JavaScript インターフェイス インジェクションに対して脆弱になり、データ漏洩、データ破損、場合によっては任意のコード実行につながる可能性があります」と Valsamaras 氏は付け加えました。

研究者らは、WebView に読み込まれた Web ページ内の JavaScript コードにアクセスできる機能を調査したところ、リンクをクリックすると 70 以上の JavaScript メソッドが公開されることを発見しました。

この脆弱性を WebView をハイジャックするエクスプロイトと組み合わせると、攻撃者に TikTok ユーザーの個人情報にアクセスまたは変更したり、パラメーターとして指定された URL に対して認証された HTTP リクエストを実行したりできる機能が付与される可能性があります。

このようなメソッドを呼び出すことにより、攻撃者は次のことを行うことができます。

  • 制御されたサーバーへのリクエストをトリガーし、Cookie とリクエスト ヘッダーをログに記録することにより、ユーザーの認証トークンを取得します。
  • TikTok エンドポイントへのリクエストをトリガーし、JavaScript コールバック経由で応答を取得することで、ユーザーの TikTok アカウント データ (プライベート ビデオやプロフィール設定など) を取得または変更します。

「つまり、悪意のある攻撃者は、認証された HTTP リクエストを実行できるメソッドを制御することで、TikTok ユーザー アカウントを侵害することができた可能性があります」と述べています。ヴァルサマラス

TikTok には Android アプリの 2 つのバージョンがあります。1 つはパッケージ名で東アジアと東南アジア向けです。com.ss.android.ugc.trill、およびパッケージ名の下にある残りの国用のもう 1 つcom.zhiliaoapp.音楽的に。 Microsoft が脆弱性評価を実施したところ、Android 用アプリの両方のバージョンが影響を受けており、Google Play ストア経由で合計 15 億回以上インストールされていることが判明しました。

Microsoft は、ユーザーが自分自身を保護するためにアプリを最新バージョンに更新し、悪意のある Web コンテンツや信頼できない Web コンテンツの読み込みを回避し、アプリの異常な動作を直ちに報告し、公式のソースからのみアプリをダウンロードしてインストールすることを推奨しています。

Also Read