Microsoft заявила, что недавно обнаружила уязвимость в приложении TikTok для Android, которая позволяла мошенникам захватить учетные записи пользователей при переходе вторых по специальной ссылке. Китайская компания исправила уязвимость, которая отслеживается как CVE-2022-28799.

Уязвимость заключалась в том, как приложение проверяло так называемые «глубокие ссылки», которые являются специфическими для Android гиперссылками для доступа к отдельным компонентам в мобильном приложении. Например, если кто-то нажимает на характерную TikTok-ссылку в браузере, ее содержимое автоматически открывается в приложении TikTok.

Приложение также может криптографически декларировать достоверность домена URL. TikTok на Android, например, декларирует домен m.tiktok.com. Обычно приложение TikTok разрешает загрузку контента с сайта tiktok.com в свой компонент WebView, но запрещает WebView загружать контент с других доменов.

«Уязвимость позволяла обойти проверку глубоких ссылок в приложении», - пишут исследователи. «Злоумышленники могли заставить приложение загрузить произвольный URL в WebView приложения, что позволяло URL получить доступ к подключенным JavaScript-мостам WebView и предоставить функциональность злоумышленникам».

Исследователи создали пробный вариант эксплойта, который именно это и делал. Она заключалась в отправке целевому пользователю TikTok вредоносной ссылки, которая, при нажатии, получала токены аутентификации, которые серверы TikTok требуют от пользователей для подтверждения владения их аккаунтом.

Microsoft заявила, что у нее нет доказательств того, что уязвимость активно эксплуатируется злоумышленниками.