마이크로소프트는 최근 틱톡의 안드로이드 앱에서 사용자가 잘못된 링크를 하나만 클릭하면 공격자가 계정을 가로챌 수 있는 취약점을 확인했다고 수요일 밝혔다. 이 소프트웨어 제조업체는 2월에 TikTok에 취약점을 알렸고 중국 기반 소셜 미디어 회사가 이후 CVE-2022-28799로 추적되는 결함을 수정했다고 말했습니다.
취약점은 앱이 모바일 애플리케이션 내의 개별 구성 요소에 액세스하기 위한 Android 전용 하이퍼링크인 딥 링크로 알려진 것을 확인하는 방법에 있습니다. 딥 링크는 앱 외부에서 사용하려면 앱 매니페스트에 선언해야 합니다. 예를 들어 브라우저에서 TikTok 링크를 클릭하는 사람은 TikTok 앱에서 콘텐츠가 자동으로 열립니다.
앱은 URL 도메인의 유효성을 암호로 알릴 수도 있습니다. 예를 들어 Android의 TikTok은 m.tiktok.com 도메인을 광고합니다. 일반적으로 TikTok은 tiktok.com의 콘텐츠가 WebView 구성 요소에 로드되도록 허용하지만 WebView가 다른 도메인의 콘텐츠를 로드하는 것을 방지합니다.
연구원들은 “이 취약점으로 인해 애플리케이션의 딥 링크 확인이 우회될 수 있었습니다.”라고 썼습니다. “공격자는 응용 프로그램이 임의의 URL을 응용 프로그램의 WebView에 로드하도록 할 수 있습니다. 그러면 URL이 WebView에 연결된 JavaScript 브리지에 액세스하고 공격자에게 기능을 부여할 수 있습니다.”
연구원들은 계속해서 그렇게 하는 개념 증명 익스플로잇을 만들었습니다. 여기에는 타겟 TikTok 사용자에게 악성 링크를 보내는 것이 포함되었으며, 클릭하면 TikTok 서버에서 사용자가 계정 소유권을 확인하는 데 필요한 인증 코드를 얻습니다. PoC 링커는 또한 대상 사용자 프로필의 바이오를 “!! SECURITY BREACH!!”라는 텍스트를 표시하도록 변경했습니다.
공격자를 위해 특별히 설계된 악성 링크가 대상 TikTok 사용자에 의해 클릭되면 공격자의 서버 https://www.attacker[.]com/poc은 JavaScript 브리지에 대한 전체 액세스 권한이 부여되고 노출된 모든 기능을 호출할 수 있습니다.”라고 연구원은 썼습니다. 공격자의 서버는 JavaScript 코드가 포함된 HTML 페이지를 렌더링하여 공격자에게 비디오 업로드 코드를 보내고 그의 약력을 변경합니다.”
마이크로소프트는 취약점이 야생에서 적극적으로 악용되었다는 증거가 없다고 말했다.
“맥주 괴짜. 사악한 대중 문화 닌자. 평생 커피 학자. 전문 인터넷 전문가. 육류 전문가.”
More Stories
Microsoft는 Call of Duty: Black Ops 6가 “출시일에 Game Pass 가입자 추가” 수에 대한 기록을 세웠다고 밝혔습니다.
Call of Duty: Black Ops 6 다운로드로 인터넷 사용 극대화
어둠 속에서 전화기를 빛나게 하는 것은 아무것도 없습니다.