ไมโครซอฟท์รายงานถึงช่องโหว่ใน API ที่ TikTok เพิ่มลงในเบราว์เซอร์ภายในแอปผ่านทาง WebView เปิดทางให้แฮ็กเกอร์ดึงเอา token สำหรับยืนยันตัวตนไปได้ โดยทีมงานของไมโครซอฟท์ยืนยันช่องโหว่ด้วยการสร้างลิงก์ที่ผู้ใช้ TikTok บนแอนดรอยด์คลิปแล้วจะถูกเปลี่ยนโปรไฟล์เป็น “!! SECURITY BREACH !!!”
ช่องโหว่ใน API ของ WebView อาจจะต้องเปิดจากลิงก์ในแอปเท่านั้ แต่เนื่องจากตัวแอป TikTok รองรับ deeplink ผ่านทาง URL ที่ขึ้นต้นด้วย https://m.tiktok[.]com/redirect อีกทางทำให้แฮ็กเกอร์สามารถสร้างลิงก์จากภายนอกแอปแต่ก็เปิดจากเบราว์เซอร์ในแอป TikTok อยู่ดี แม้ที่จริง TikTok จะป้องกันการทำเช่นนี้ไว้แต่ทีมงานของไมโครซอฟท์ก็พบวิธีการหลบฟิลเตอร์ได้
API ที่ TikTok ใส่เพิ่มเข้าไปใน WebView มีมากกว่า 70 รายการ บาง API เปิดให้เข้าถึงข้อมูลส่วนตัวของผู้ใช้ บางส่วนเปิดให้ยิง HTTP POST ไปยังเซิร์ฟเวอร์แล้วคืนค่าทุกอย่างกลับมา รวมถึง HTTP header ด้วย
ไมโครซอฟท์รายงานช่องโหว่ไปยัง TikTok ตั้งแต่เดือนกุมภาพันธ์และทาง TikTok ก็แก้ไขตั้งแต่เดือนมีนาคม แต่ไมโครซอฟท์เพิ่งรายงานถึงช่องโหว่นี้อย่างละเอียด โดยก่อนหน้านี้ไม่นานก็มีนักวิจัยภายนอกพบว่า TikTok แทรกจาวาสคริปต์ลงในเบราว์เซอร์ในแอป
ที่มา – Microsoft
ที่มา : blognone / วันที่เผยแพร่ 1 ก.ย.65
Link : https://www.blognone.com/node/130137