Microsoft को TikTok में एक भेद्यता मिली जिसने एक-क्लिक खाते के समाधान की अनुमति दी

गेटी इमेजेज

माइक्रोसॉफ्ट ने बुधवार को कहा कि उसने हाल ही में टिकटॉक के एंड्रॉइड ऐप में एक भेद्यता की पहचान की है जो हमलावरों को खातों को हाईजैक करने की अनुमति दे सकती है जब उपयोगकर्ता एक गलत लिंक पर क्लिक करने के अलावा कुछ नहीं करते हैं। सॉफ्टवेयर निर्माता ने कहा कि उसने फरवरी में टिक्कॉक को भेद्यता के बारे में सूचित किया और चीन स्थित सोशल मीडिया कंपनी ने दोष को ठीक कर दिया है, जिसे CVE-2022-28799 के रूप में ट्रैक किया गया है।

भेद्यता इस बात में निहित है कि ऐप किस तरह से डीप लिंक के रूप में जाना जाता है, जो कि मोबाइल एप्लिकेशन के भीतर अलग-अलग घटकों तक पहुंचने के लिए एंड्रॉइड-विशिष्ट हाइपरलिंक हैं। ऐप के बाहर उपयोग के लिए ऐप मेनिफेस्ट में डीप लिंक घोषित किए जाने चाहिए, इसलिए, उदाहरण के लिए, एक व्यक्ति जो ब्राउज़र में टिकटॉक लिंक पर क्लिक करता है, उसके पास टिकटॉक ऐप में सामग्री अपने आप खुल जाती है।

ऐप किसी URL डोमेन की वैधता की गुप्त रूप से घोषणा भी कर सकता है। उदाहरण के लिए, Android पर TikTok डोमेन m.tiktok.com का विज्ञापन करता है। आम तौर पर, टिकटोक tiktok.com की सामग्री को अपने वेबव्यू घटक में लोड करने की अनुमति देगा, लेकिन वेबव्यू को अन्य डोमेन से सामग्री लोड करने से रोकेगा।

“भेद्यता ने एप्लिकेशन के डीप लिंक सत्यापन को बायपास करने की अनुमति दी,” शोधकर्ताओं ने लिखा। “हमलावर एप्लिकेशन को एप्लिकेशन के वेबव्यू में एक यादृच्छिक यूआरएल लोड करने के लिए मजबूर कर सकते हैं, जो तब यूआरएल को वेबव्यू से जुड़े जावास्क्रिप्ट पुलों तक पहुंचने और हमलावरों को कार्यक्षमता प्रदान करने की अनुमति देता है।”

READ  लॉजिटेक जी गेमिंग हैंडहेल्ड डब्ल्यू / गूगल प्ले। लीक्स

शोधकर्ताओं ने एक प्रूफ-ऑफ-कॉन्सेप्ट कारनामा बनाना जारी रखा, जिसने बस यही किया। इसमें एक लक्षित टिकटॉक उपयोगकर्ता को एक दुर्भावनापूर्ण लिंक भेजना शामिल था, जिसे क्लिक करने पर, प्रमाणीकरण कोड प्राप्त हुए जो कि टिकटॉक सर्वर को अपने खाते के स्वामित्व को सत्यापित करने के लिए उपयोगकर्ताओं की आवश्यकता होती है। PoC लिंकर ने “!! सुरक्षा भंग !!” टेक्स्ट प्रदर्शित करने के लिए लक्षित उपयोगकर्ता के प्रोफ़ाइल के बायो को भी बदल दिया है।

एक बार हमलावर के लिए विशेष रूप से डिज़ाइन किया गया दुर्भावनापूर्ण लिंक लक्षित टिकटॉक उपयोगकर्ता, हमलावर के सर्वर, https://www.attacker द्वारा क्लिक किया जाता है।[.]com/poc, को जावास्क्रिप्ट ब्रिज का पूरा एक्सेस दिया गया है और यह किसी भी एक्सपोज्ड फंक्शन को कॉल कर सकता है,” शोधकर्ताओं ने लिखा। हमलावर का सर्वर एक HTML पृष्ठ लौटाता है जिसमें जावास्क्रिप्ट कोड होता है जो हमलावर को वीडियो अपलोड कोड भेजने के साथ-साथ एक बायो भी बदलता है।”

माइक्रोसॉफ्ट ने कहा कि इसका कोई सबूत नहीं है कि जंगली में भेद्यता का सक्रिय रूप से शोषण किया गया था।

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा.