أخبار تقنيةتقنيةتكنولوجياشروحاتمراجعات تقنيةمقالات معلوماتية

كان مستخدمو TikTok عرضة لهجوم بنقرة واحدة

كان مستخدمو TikTok عرضة لهجوم بنقرة واحدة

قالت مايكروسوفت يوم في 31 أغسطس ، حددت مؤخرًا ثغرة أمنية في تطبيق Android الخاص بـ TikTok والتي قد تسمح للمهاجمين باختطاف الحسابات عندما لا يفعل المستخدمون شيئًا أكثر من النقر على رابط خاطئ واحد. قالت شركة تصنيع البرمجيات إنها أخطرت TikTok بالثغرة الأمنية في فبراير وأن شركة التواصل الاجتماعي التي تتخذ من الصين مقراً لها قد أصلحت العيوب منذ ذلك الحين ، والتي تم تتبعها على أنها CVE-2022-28799.

تكمن الثغرة في كيفية قيام التطبيق بالتحقق مما يُعرف بالروابط العميقة ، وهي روابط تشعبية خاصة بنظام Android للوصول إلى المكونات الفردية داخل تطبيق الهاتف المحمول. يجب الإعلان عن الروابط الداخلية في بيان التطبيق لاستخدامها خارج التطبيق – لذلك ، على سبيل المثال ، الشخص الذي ينقر على رابط TikTok في متصفح ما يفتح المحتوى تلقائيًا في تطبيق TikTok.

يمكن للتطبيق أيضًا الإعلان بشكل مشفر عن صلاحية نطاق عنوان URL. TikTok على Android ، على سبيل المثال ، يعلن المجال m.tiktok.com. عادةً ، سيسمح تطبيق TikTok بتحميل المحتوى من tiktok.com في مكون WebView الخاص به ولكنه يمنع WebView من تحميل المحتوى من المجالات الأخرى.

كتب المؤلفون: “سمحت الثغرة الأمنية بتجاوز التحقق من الرابط العميق للتطبيق”. “يمكن للمهاجمين إجبار التطبيق على تحميل عنوان URL عشوائي إلى WebView للتطبيق ، مما يسمح لعنوان URL بالوصول بعد ذلك إلى جسور JavaScript المرفقة في WebView ومنح الوظائف للمهاجمين”.

واصل الباحثون إنشاء برهان مفهوم استغلال الذي فعل ذلك بالضبط. كان ينطوي على إرسال رابط ضار لمستخدم TikTok مستهدف والذي ، عند النقر عليه ، حصل على رموز المصادقة التي تطلبها خوادم TikTok للمستخدمين لإثبات ملكية حساباتهم. قام الارتباط أيضًا بتغيير السيرة الذاتية لملف تعريف المستخدم المستهدف لعرض النص “!! SECURITY BREACH !!”

“بمجرد النقر على الرابط الخبيث المصمم خصيصًا للمهاجم بواسطة مستخدم TikTok المستهدف ، خادم المهاجم ، https: //www.attacker[.]com / poc ، يمنح حق الوصول الكامل إلى جسر JavaScript ويمكنه استدعاء أي وظيفة مكشوفة “، كتب الباحثون. “يعرض خادم المهاجم صفحة HTML تحتوي على رمز JavaScript لإرسال رموز تحميل الفيديو إلى المهاجم بالإضافة إلى تغيير سيرة ملف تعريف المستخدم.”

وقالت مايكروسوفت إنه ليس لديها دليل على استغلال الثغرة الأمنية بشكل نشط في البرية.

ظهرت هذه القصة في الأصل آرس تكنيكا.

 

كان مستخدمو TikTok عرضة لهجوم بنقرة واحدة

#كان #مستخدمو #TikTok #عرضة #لهجوم #بنقرة #واحدة