Cuma, Ekim 7, 2022
Ana Sayfa Güvenlik Microsoft, TikTok Android Uygulaması için Şiddetli 'Tek Tıkla' Yararlanmayı Keşfetti

Microsoft, TikTok Android Uygulaması için Şiddetli ‘Tek Tıkla’ Yararlanmayı Keşfetti

Microsoft

Microsoft Çarşamba günü, Android için TikTok uygulamasında, kurbanlar kötü amaçlı bir bağlantıya tıkladığında saldırganların hesapları ele geçirmesine izin verebilecek, şimdi yamalı “yüksek önemde güvenlik açığı” ayrıntılarını açıkladı.

Microsoft 365 Defender Araştırma Ekibi’nden Dimitrios Valsamaras, “Saldırganlar, hedeflenen bir kullanıcı özel olarak hazırlanmış bir bağlantıyı tıkladığında, kullanıcıların farkında olmadan bir hesabı ele geçirmek için güvenlik açığından yararlanabilir.”

Kusurun başarılı bir şekilde kullanılması, kötü niyetli aktörlerin, kullanıcıların TikTok profillerine ve hassas bilgilerine erişmesine ve bunları değiştirmesine izin vererek, özel videoların yetkisiz olarak açığa çıkmasına neden olabilir. Saldırganlar ayrıca, kullanıcılar adına mesaj göndermek ve video yüklemek için hatayı kötüye kullanmış olabilir.

23.7.3 sürümünde ele alınan sorun, Android uygulamasının com.ss.android.ugc.trill (Doğu ve Güneydoğu Asya kullanıcıları için) ve com.zhiliaoapp.musically’nin (Hindistan, nerede yasak). Birlikte, uygulamaların aralarında 1,5 milyardan fazla yüklemesi var.

TikTok Android Uygulaması

CVE-2022-28799 (CVSS puanı: 8.8), güvenlik açığı, uygulamanın, kullanıcıları bir web sitesine yönlendirmek yerine, uygulamaların cihazda yüklü başka bir uygulamada belirli bir kaynağı açmasına izin veren özel bir köprü olan derin bağlantı olarak adlandırılan şeyi işlemesiyle ilgilidir.

Kusur tavsiyesine göre, “Hazırlanmış bir URL (doğrulanmamış derin bağlantı), com.zhiliaoapp.musically WebView’ı rastgele bir web sitesi yüklemeye zorlayabilir”. “Bu, bir saldırganın tek tıklamayla devralma için ekli bir JavaScript arayüzünden yararlanmasına izin verebilir.”

TikTok Android Uygulaması

Basitçe söylemek gerekirse, kusur, güvenilmeyen ana bilgisayarları reddetmek ve saldırganın tercih ettiği herhangi bir web sitesini Android Sistemi aracılığıyla yüklemek için uygulamaların kısıtlamalarını aşmayı mümkün kılar.

Web Görünümü, web içeriğini diğer uygulamalarda görüntülemek için bir mekanizma.

“Filtreleme sunucu bir URL’yi yükleme veya reddetme kararı, belirli bir HTTP GET isteğinden alınan cevaba dayanır,” diye açıkladı Valsamaras, statik analizi ekleyerek “sunucuyu atlamanın mümkün olduğunu belirtti. Derin bağlantıya iki ek parametre ekleyerek yan kontrol yapın.”

Hileli web sitelerini yüklemek için WebView’ü ele geçirmek için tasarlanan bu istismarın bir sonucu, saldırganın, bir kullanıcının profil bütünlüğünden etkin bir şekilde ödün vererek, 70’in üzerinde açıkta kalan TikTok uç noktasını çağırmasına izin verebilmesidir.

“Bir programlama perspektifinden, JavaScript arayüzleri önemli riskler oluşturuyor” dedi Microsoft. “Güvenliği ihlal edilmiş bir JavaScript arabirimi, saldırganların uygulamanın kimliğini ve ayrıcalıklarını kullanarak kod yürütmesine potansiyel olarak izin verebilir.”

RELATED ARTICLES

Yeni Facebook Özelliği Sonunda Haber Kaynağınızda Gördüklerinizi Özelleştirmenizi Sağlıyor

Meta sonunda, kullanıcıların Facebook özet akışlarında daha az alakasız içerik görmelerine yardımcı olacak yeni bir özellik sunmaya karar verdi. Meta'nın bu yeni güncellemenin feed'inizi özelleştirmenize...

YouTube Premium, 4K İçerik Akışının Tek Yolu Olabilir

En son söylentiler ciddiye alınacaksa, yakında Youtube Premium Platformda 4K videoları izlenecek YouTube tarafından yayınlanan ekran görüntülerine göre kullanıcılar gibi çeşitli forumlarda Reddit ve twitter...

Twitter TikTok’u ‘Kopyalamaya’ Karar Verdi ve Dikey Videoları Tanıttı

Twitter görünüşe göre başka bir hamle daha yaptı, bu hamle uygun resepsiyonu alamayabilecek bir hamle. Şirket, TikTok'tan başkasını kopyalamaya ve sonsuz bir video kaydırma...

Most Popular

Google, 85 Milyon Dolarlık Tüketici Gizliliği Davasını Çözdü

Google'ın ana şirketi Alphabet Inc., Arizona eyaleti tarafından açılan bir tüketici mahremiyeti davasını sonlandırmak için 85 milyon dolar ödeyecek. Arama motorunun eyaletteki Tüketici Dolandırıcılık Yasasını...

iPhone 14 Pro’da ProRAW Çözünürlüğü 48MP’den 12MP’ye Nasıl Değiştirilir

Apple, geçtiğimiz ay iPhone 14 ve iPhone 14 Pro modellerini hemen hemen tüm departmanlarda büyük değişikliklerle piyasaya sürdü. Genel tasarım dili geçen yılkiyle aşağı...

Apple, Renkli Titanyum Alaşımlı Kaplamaları Gelecekte Daha Fazla Ürüne Getirecek

Apple, bu yıl hiçbir iPhone 14 modeli için titanyum alaşımlı bir kaplama kullanmadı, ancak Apple Watch Ultra'yı duyururken malzemeyi tanıttı. En son patente göre,...

Pixel 7 Pro AnTuTu’da Kıyaslandı, Amiral Gemisinin Tensor G2’si Snapdragon 888, A15 Bionic Tarafından Yenildi

Google'ın resmi duyurusundan önce, Pixel 7 Pro adımlarını attı ve birileri AnTuTu karşılaştırmasını amiral gemisinde de çalıştırmayı başardı. Ne yazık ki, akıllı telefonun iç...

Recent Comments