Александр Пономарёв

Текст

Корпорация Microsoft обнаружила в приложении TikTok для Android уязвимость, которая позволяет злоумышленникам взламывать учетные записи пользователей

Для кражи аккаунта достаточно перехода пользователя по вредоносной ссылке, после чего киберпреступники получают доступ к профилю, могут изменять в нем данные и выгружать конфиденциальную информацию. «Угон» аккаунтов возможен благодаря тому, что хакеры смогли заставить приложение загружать произвольный URL-адрес в WebView, что обеспечило им доступ к подключенным мостам JavaScript WebView.

Исследователь Microsoft по кибербезопасности уведомил TikTok о проблемах, после чего компания выпустила обновление для устранения обнаруженной уязвимости, идентифицированной как CVE-2022-28799. Эксплуатация уязвимости зависит от реализации в приложении интерфейсов JavaScript, которые предоставляются компонентом операционной системы Android под названием WebView.

Он позволяет приложениям загружать и отображать веб-страницы, а с помощью вызова API addJavascriptInterface предоставляет функции моста, которые позволяют коду JavaScript на веб-странице вызывать определенные методы Java определённого класса в приложении. Загрузка ненадежного веб-контента в WebView с объектами уровня приложения, доступными через код JavaScript, делает приложение уязвимым, что может привести к утечке данных, их повреждению или выполнению произвольного кода.

В США недавно обвинили TikTok в шпионаже: