11월 29, 2024

Wpick

지상에서 한국의 최신 개발 상황을 파악하세요

Microsoft는 TikTok에서 원 클릭 계정 조정을 허용하는 취약점을 발견했습니다.

Microsoft는 TikTok에서 원 클릭 계정 조정을 허용하는 취약점을 발견했습니다.

게티 이미지

마이크로소프트는 최근 틱톡의 안드로이드 앱에서 사용자가 잘못된 링크를 하나만 클릭하면 공격자가 계정을 가로챌 수 있는 취약점을 확인했다고 수요일 밝혔다. 이 소프트웨어 제조업체는 2월에 TikTok에 취약점을 알렸고 중국 기반 소셜 미디어 회사가 이후 CVE-2022-28799로 추적되는 결함을 수정했다고 말했습니다.

취약점은 앱이 모바일 애플리케이션 내의 개별 구성 요소에 액세스하기 위한 Android 전용 하이퍼링크인 딥 링크로 알려진 것을 확인하는 방법에 있습니다. 딥 링크는 앱 외부에서 사용하려면 앱 매니페스트에 선언해야 합니다. 예를 들어 브라우저에서 TikTok 링크를 클릭하는 사람은 TikTok 앱에서 콘텐츠가 자동으로 열립니다.

앱은 URL 도메인의 유효성을 암호로 알릴 수도 있습니다. 예를 들어 Android의 TikTok은 m.tiktok.com 도메인을 광고합니다. 일반적으로 TikTok은 tiktok.com의 콘텐츠가 WebView 구성 요소에 로드되도록 허용하지만 WebView가 다른 도메인의 콘텐츠를 로드하는 것을 방지합니다.

연구원들은 “이 취약점으로 인해 애플리케이션의 딥 링크 확인이 우회될 수 있었습니다.”라고 썼습니다. “공격자는 응용 프로그램이 임의의 URL을 응용 프로그램의 WebView에 로드하도록 할 수 있습니다. 그러면 URL이 WebView에 연결된 JavaScript 브리지에 액세스하고 공격자에게 기능을 부여할 수 있습니다.”

연구원들은 계속해서 그렇게 하는 개념 증명 익스플로잇을 만들었습니다. 여기에는 타겟 TikTok 사용자에게 악성 링크를 보내는 것이 포함되었으며, 클릭하면 TikTok 서버에서 사용자가 계정 소유권을 확인하는 데 필요한 인증 코드를 얻습니다. PoC 링커는 또한 대상 사용자 프로필의 바이오를 “!! SECURITY BREACH!!”라는 텍스트를 표시하도록 변경했습니다.

공격자를 위해 특별히 설계된 악성 링크가 대상 TikTok 사용자에 의해 클릭되면 공격자의 서버 https://www.attacker[.]com/poc은 JavaScript 브리지에 대한 전체 액세스 권한이 부여되고 노출된 모든 기능을 호출할 수 있습니다.”라고 연구원은 썼습니다. 공격자의 서버는 JavaScript 코드가 포함된 HTML 페이지를 렌더링하여 공격자에게 비디오 업로드 코드를 보내고 그의 약력을 변경합니다.”

마이크로소프트는 취약점이 야생에서 적극적으로 악용되었다는 증거가 없다고 말했다.