تدعي Microsoft أنها وجدت التفسير وراء الموجة الأخيرة من عمليات اختراق حسابات TikTok. وفقا للشركة ، أتاح عيب في التطبيق على Android للمتسللين بإرسال روابط مخادعة تسمح لهم بالتحكم على الفور في حسابات ضحاياهم.
الخلل المدرج ضمن المرجع CVE-2022-28799 تم إصلاحه . وقد أبلغت Microsoft رئيس TikTok في فبراير الماضي. ومع ذلك ، إذا تم اختراق حساب TikTok الخاص بك في هذه الفترة ، فمن المحتمل أن المتسللين تمكنوا من استغلال هذا الخلل الأمني.
بشكل ملموس ، سمح خلل في نظام التحقق من الروابط في التطبيق على Android للمتسللين بإنشاء روابط مخادعة تسمح لهم بالتحكم في أي حساب بمجرد نقر الضحية عليه. عادة عندما يتم فتح الروابط الداخلية خارج التطبيق ، يتم التحقق منها .
كيف يمكن للمتسللين اختراق حساب TikTok الخاص بك برابط بسيط
يمكن للتطبيق أيضا إجراء عمليات تشفير للتحقق من صحة الرابط عادة ، من خلال هذا النوع من الروابط ، يسمح تطبيق TikTok فقط بعرض الكود من tiktok.com في متصفحه المدمج WebView.
مع حظر تحميل المحتوى من المجالات الأخرى. ولكن مع هذا الخلل ، يمكن للقراصنة التغلب على هذا القيد والوصول إلى جسور جافا سكريبت الآمنة للسيطرة الكاملة على الحساب. إليك كيف تصف Microsoft الخلل:
أوضح باحثو الشركة : "سمحت هذه الثغرة الأمنية بتجاوز التحقق من الرابط العميق للتطبيق. يمكن للقراصنة أن يجبروا التطبيق على تحميل عنوان URL في مكون WebView للتطبيق مما يسمح لعنوان URL المذكور بالوصول إلى جسور JavaScript الخاصة بالمكون وبالتالي منح وظائف للمتسللين ".
تمكن الباحثون من استغلال الخلل بأنفسهم من خلال عرض توضيحي. تضمن ذلك إرسال رابط ضار ، والذي بمجرد اتباعه ،يتعرّف على رموز مصادقة الضحية ثم الاتصال بخوادم TikTok ووبالتالي تسجيل الدخول. وأظهر الباحثون في مايكروسوفت أنه من الممكن بالتالي تحميل مقاطع فيديو وتغيير السيرة الذاتية للضحية.
قد تكون حماية نفسك من هذا النوع من الهجوم أمرا معقدا ، خاصة عندما لا تعرف بالضرورة أن هذا النوع من المخططات ممكن. ومع ذلك ، كما هو الحال دائما ، يجب أن تكون دائما حذرا من الروابط الواردة من جهات اتصال غير موثوقة.