Cuma, Mart 29, 2024
Ana Sayfa Güvenlik Microsoft, TikTok Android Uygulaması için Şiddetli 'Tek Tıkla' Yararlanmayı Keşfetti

Microsoft, TikTok Android Uygulaması için Şiddetli ‘Tek Tıkla’ Yararlanmayı Keşfetti

Microsoft
- Advertisement -

Microsoft Çarşamba günü, Android için TikTok uygulamasında, kurbanlar kötü amaçlı bir bağlantıya tıkladığında saldırganların hesapları ele geçirmesine izin verebilecek, şimdi yamalı “yüksek önemde güvenlik açığı” ayrıntılarını açıkladı.

Microsoft 365 Defender Araştırma Ekibi’nden Dimitrios Valsamaras, “Saldırganlar, hedeflenen bir kullanıcı özel olarak hazırlanmış bir bağlantıyı tıkladığında, kullanıcıların farkında olmadan bir hesabı ele geçirmek için güvenlik açığından yararlanabilir.”

Kusurun başarılı bir şekilde kullanılması, kötü niyetli aktörlerin, kullanıcıların TikTok profillerine ve hassas bilgilerine erişmesine ve bunları değiştirmesine izin vererek, özel videoların yetkisiz olarak açığa çıkmasına neden olabilir. Saldırganlar ayrıca, kullanıcılar adına mesaj göndermek ve video yüklemek için hatayı kötüye kullanmış olabilir.

23.7.3 sürümünde ele alınan sorun, Android uygulamasının com.ss.android.ugc.trill (Doğu ve Güneydoğu Asya kullanıcıları için) ve com.zhiliaoapp.musically’nin (Hindistan, nerede yasak). Birlikte, uygulamaların aralarında 1,5 milyardan fazla yüklemesi var.

TikTok Android Uygulaması

CVE-2022-28799 (CVSS puanı: 8.8), güvenlik açığı, uygulamanın, kullanıcıları bir web sitesine yönlendirmek yerine, uygulamaların cihazda yüklü başka bir uygulamada belirli bir kaynağı açmasına izin veren özel bir köprü olan derin bağlantı olarak adlandırılan şeyi işlemesiyle ilgilidir.

Kusur tavsiyesine göre, “Hazırlanmış bir URL (doğrulanmamış derin bağlantı), com.zhiliaoapp.musically WebView’ı rastgele bir web sitesi yüklemeye zorlayabilir”. “Bu, bir saldırganın tek tıklamayla devralma için ekli bir JavaScript arayüzünden yararlanmasına izin verebilir.”

TikTok Android Uygulaması

Basitçe söylemek gerekirse, kusur, güvenilmeyen ana bilgisayarları reddetmek ve saldırganın tercih ettiği herhangi bir web sitesini Android Sistemi aracılığıyla yüklemek için uygulamaların kısıtlamalarını aşmayı mümkün kılar.

Web Görünümü, web içeriğini diğer uygulamalarda görüntülemek için bir mekanizma.

“Filtreleme sunucu bir URL’yi yükleme veya reddetme kararı, belirli bir HTTP GET isteğinden alınan cevaba dayanır,” diye açıkladı Valsamaras, statik analizi ekleyerek “sunucuyu atlamanın mümkün olduğunu belirtti. Derin bağlantıya iki ek parametre ekleyerek yan kontrol yapın.”

Hileli web sitelerini yüklemek için WebView’ü ele geçirmek için tasarlanan bu istismarın bir sonucu, saldırganın, bir kullanıcının profil bütünlüğünden etkin bir şekilde ödün vererek, 70’in üzerinde açıkta kalan TikTok uç noktasını çağırmasına izin verebilmesidir.

“Bir programlama perspektifinden, JavaScript arayüzleri önemli riskler oluşturuyor” dedi Microsoft. “Güvenliği ihlal edilmiş bir JavaScript arabirimi, saldırganların uygulamanın kimliğini ve ayrıcalıklarını kullanarak kod yürütmesine potansiyel olarak izin verebilir.”

BENZER YAZILAR

Blu-ray Nedir?

Blu-ray Nedir? Blu-ray, CD ve DVD gibi bir optik disk biçimidir. Yüksek tanımlı (HD) video kaydetmek ve oynatmak ve büyük miktarda veri depolamak için geliştirilmiştir. Bir...

Bakterilerin Kapsamlı Silahlarının Ardındaki Gizemi Çözmek

öncülüğünde yeni bir çalışma Oxford Üniversitesi neden kesin olduğuna ışık tuttu türler Bakterilerin şaşırtıcı silah cephanelikleri var. Bulgular bugün dergide yayınlandı Doğa Ekolojisi ve...

Fitbit, Inspire 3 Tracker’ı Başlattı

Sense 2 ve Versa 4’e ek olarak, Fitbit’in sonbahar serisinde ayrıca, izlemeyi olabildiğince kolay ve uygun fiyatlı hale getirmeyi amaçlayan yeni bir Inspire izleyici...

POPÜLER YAZILAR

Lazer Hassasiyeti, NASA’nın Navigasyon Doppler Lidar’ı ile Ay Keşifleriyle Buluşuyor

NASAAy gösterisi için hazırlanan Navigasyon Doppler Lidar teknolojisi, uzay araştırmalarının ötesinde sonuçları olan iniş teknolojisindeki ilerlemeleri vurguluyor. Bu ayın sonlarında, NASA'nın ticari ay teslimat hizmetleri...

Ay, Mars ve Ötesi için Öncü Fisyon Enerjisi

NASA özerklik, güvenlik ve uzun vadeli çalışmaya odaklanarak Ay için bir nükleer fisyon reaktörü geliştirmeye yönelik Fisyon Yüzey Enerjisi Projesi ile ilerliyor. Bu çaba,...

Yeni Nesil OLED Teknolojisinin Arkasındaki Sır

Durham Üniversitesi'ndeki bilim adamlarının yeni bir araştırması, daha parlak, daha verimli ve daha kararlı mavi organik ışık yayan diyotlara (OLED'ler) doğru beklenmedik bir yolu...

SEC’in X hesabı, Bitcoin ETF onayına ilişkin sahte haberler yayınlamak için saldırıya uğradı

Birisi, ABD Menkul Kıymetler ve Borsa Komisyonu'nun (SEC) X (eski adıyla Twitter) hesabını ele geçirdi ve kurumun, kayıtlı ulusal güvenlik borsalarında Bitcoin ETF'lerinin (borsada...