Уязвимость в TikTok позволяет «угонять» аккаунты Она обнаружена в мобильном приложении под Android
![Уязвимость в <i>TikTok </i>позволяет «угонять» аккаунты](https://s.digitalocean.ru/upload/1662048085_mourizalzativalUE6vAPx9tIunsplash.jpg)
Для кражи аккаунта достаточно перехода пользователя по вредоносной ссылке, после чего киберпреступники получают доступ к профилю, могут изменять в нем данные и выгружать конфиденциальную информацию. «Угон» аккаунтов возможен благодаря тому, что хакеры смогли заставить приложение загружать произвольный URL-адрес в WebView, что обеспечило им доступ к подключенным мостам JavaScript WebView.
Исследователь Microsoft по кибербезопасности уведомил TikTok о проблемах, после чего компания выпустила обновление для устранения обнаруженной уязвимости, идентифицированной как CVE-2022-28799. Эксплуатация уязвимости зависит от реализации в приложении интерфейсов JavaScript, которые предоставляются компонентом операционной системы Android под названием WebView.
Он позволяет приложениям загружать и отображать веб-страницы, а с помощью вызова API addJavascriptInterface предоставляет функции моста, которые позволяют коду JavaScript на веб-странице вызывать определенные методы Java определённого класса в приложении. Загрузка ненадежного веб-контента в WebView с объектами уровня приложения, доступными через код JavaScript, делает приложение уязвимым, что может привести к утечке данных, их повреждению или выполнению произвольного кода.
В США недавно обвинили TikTok в шпионаже:
Использованные источники:
![Операции без скальпеля Как делают 3D-биопечать на живом человеке](https://s.digitalocean.ru/627/upload/1721044656_DSC_0291.jpg.webp)