A Microsoft anunciou na quarta-feira que tinha recentemente descoberto uma vulnerabilidade na aplicação Android do TikTok que poderia permitir aos atacantes apropriarem-se das contas dos utilizadores com um simples clique num único link desonesto. O gigante do software disse ter notificado a TikTok da vulnerabilidade em Fevereiro e que a empresa de redes sociais baseada na China corrigiu desde então a falha.
A vulnerabilidade residia na forma como a aplicação verificava o que é conhecido como deepplinks, que são hiperligações específicas para Android para aceder a componentes individuais dentro de uma aplicação móvel. As ligações profundas devem ser declaradas no manifesto de uma aplicação para utilização fora da aplicação – por exemplo, alguém que clica numa ligação TikTok num browser tem o conteúdo automaticamente aberto na aplicação TikTok.
Surpresa! O processo de verificação não funcionou de facto, pelo que qualquer pessoa poderia criar uma ligação profunda a qualquer componente da aplicação que quisesse. Isto poderia permitir a um atacante realizar acções como a publicação de vídeos ou o envio de mensagens sem o conhecimento do utilizador.
Um aplicativo pode declarar criptograficamente a validade de um domínio URL – e com surpresa, TikTok no Android faz exatamente isso para o seu domínio m.tiktok.com! Normalmente, a aplicação TikTok permitirá que o conteúdo de tiktok.com seja carregado no seu componente WebView, mas proíbe o WebView de carregar conteúdo de outros domínios.
“A vulnerabilidade permitiu que a verificação deeplink da aplicação fosse contornada”, escreveram os investigadores. “Os atacantes podiam forçar a aplicação a carregar um URL arbitrário para o WebView da aplicação, permitindo ao URL aceder às pontes JavaScript anexadas ao WebView e conceder funcionalidade aos atacantes”
Os investigadores divulgaram uma “prova de conceito” que fez precisamente isso. Enviava o envio a um utilizador TikTok visado de uma ligação maliciosa que, quando clicado, obtinha os tokens de autenticação que os servidores TikTok exigiam para que os utilizadores provassem a propriedade da sua conta. A ligação PoC também alterou a biografia do perfil do utilizador visado para exibir o texto “! VIOLAÇÃO DE SEGURANÇA!!”.
“Uma vez que o link malicioso especialmente criado pelo atacante é clicado pelo utilizador alvo TikTok, o servidor do atacante tem acesso total à ponte JavaScript e pode invocar qualquer funcionalidade exposta”, escreveram os investigadores. “O servidor do atacante devolve uma página HTML contendo código JavaScript para enviar fichas de carregamento de vídeo de volta ao atacante, bem como alterar a biografia do perfil do utilizador”
A Microsoft disse não ter provas de que a vulnerabilidade tenha sido activamente explorada no meio selvagem, sendo que o Tiktok também afirmou que também não encontrou nenhuma prova.
Fonte: Microsoft
