×

Злоумышленники похищают TikTok аккаунты в один клик

Злоумышленники похищают TikTok аккаунты в один клик

Опасная уязвимость в компоненте WebView приложения ставит под угрозу безопасность 1.5 миллиарда пользователей TikTok.

Уязвимость в приложении TikTok для Android была обнаружена исследователями из Microsoft еще в феврале, а совсем недавно компания подробно описала результаты своих исследований, подчеркнув что уязвимость могла позволить злоумышленникам похищать учетные записи пользователей одним кликом мыши.

CVE-2022-28799 затрагивала Android-приложение TikTok версий 23.7.3 и ниже, а для ее использования нужно было использовать несколько других уязвимостей. Чтобы получить полный доступ к аккаунту пользователя, хакерам достаточно было заставить пользователя нажать на специально сгенерированную ссылку. Получив доступ к аккаунту, злоумышленники получали возможность просматривать приватные видео, отправлять сообщения и загружать свои видео.

Как же эта уязвимость могла быть использована хакерами? По данным Microsoft, приложение TikTok для Android позволяет обойти проверку глубокой ссылки. В результате злоумышленники могут заставить приложение загрузить URL-адрес в компонент WebView приложения.

Страница, расположенная по загруженному URL-адресу, получает доступ к JavaScript-мостам WebView, что буквально развязывает руки хакерам, давая им 70 способов быстрого доступа к информации пользователя. Кроме того, злоумышленник мог получить токены аутентификации жертвы, отправив запрос к серверу, а затем записав cookie-файлы и заголовки запроса.

Эксперты рекомендуют пользователям не переходить по ссылкам из ненадежных источников и обновить приложение до последних версий как можно скорее.

Хакер взломал PlayStation 5 и выпустил эксплойт для консоли

Эксплоит будет полезен тем, кто хочет изучить внутреннюю систему PS5.

Стажер АНБ арестован за попытку продать секреты США иностранному правительству

Арестованному грозит смертная казнь или пожизненное заключение.

Китайские хакеры нанесли удар по цепочке поставок Comm100 Live Chat

Какое-то время вместе с программой можно было получить неприятный “подарок” в виде трояна.