Microsoft рассказала про обнаружение уязвимости в приложении TikTok на Android, которая даёт возможность получать доступ к аккаунтам пользователей одним нажатием. Эта информация появилась вскоре после новости о вероятной утечке данных из TikTok.
Эксплоит требовал совместного использования нескольких уязвимостей и они уже были закрыты. Свидетельств его применения на практике не обнаружено. Потенциально хакеры могли получать доступ к чужим учётным записям незаметно для их владельцев.
Уязвимости позволяли обойти проверку приложения на глубинные ссылки, вынуждая загружать произвольный URL-адрес в веб-представление приложения. Это позволяло получить доступ к подключенным мостам JavaScript.
Существуют два варианта приложения TikTok, для Восточной и Юго-Восточной Азии и для остальных стран. Эксплоит применим к обоим, о чём Microsoft уведомила разработчиков в феврале. TikTok выпустила обновление в марте при содействии Microsoft. Атаку можно было бы использовать для публикации видео и другого контента на платформе от лица взломанных аккаунтов. Microsoft напоминает, что JavaScript по возможности следует избегать, сообщает Neowin.
