Tags:
Node Thumbnail

ไมโครซอฟท์รายงานถึงช่องโหว่ใน API ที่ TikTok เพิ่มลงในเบราว์เซอร์ภายในแอปผ่านทาง WebView เปิดทางให้แฮกเกอร์ดึงเอา token สำหรับยืนยันตัวตนไปได้ โดยทีมงานของไมโครซอฟท์ยืนยันช่องโหว่ด้วยการสร้างลิงก์ที่ผู้ใช้ TikTok บนแอนดรอยด์คลิปแล้วจะถูกเปลี่ยนโปรไฟล์เป็น "!! SECURITY BREACH !!!"

ช่องโหว่ใน API ของ WebView อาจจะต้องเปิดจากลิงก์ในแอปเท่านั้ แต่เนื่องจากตัวแอป TikTok รองรับ deeplink ผ่านทาง URL ที่ขึ้นต้นด้วย https://m.tiktok[.]com/redirect อีกทางทำให้แฮกเกอร์สามารถสร้างลิงก์จากภายนอกแอปแต่ก็เปิดจากเบราว์เซอร์ในแอป TikTok อยู่ดี แม้ที่จริง TikTok จะป้องกันการทำเช่นนี้ไว้แต่ทีมงานของไมโครซอฟท์ก็พบวิธีการหลบฟิลเตอร์ได้

API ที่ TikTok ใส่เพิ่มเข้าไปใน WebView มีมากกว่า 70 รายการ บาง API เปิดให้เข้าถึงข้อมูลส่วนตัวของผู้ใช้ บางส่วนเปิดให้ยิง HTTP POST ไปยังเซิร์ฟเวอร์แล้วคืนค่าทุกอย่างกลับมา รวมถึง HTTP header ด้วย

ไมโครซอฟท์รายงานช่องโหว่ไปยัง TikTok ตั้งแต่เดือนกุมภาพันธ์และทาง TikTok ก็แก้ไขตั้งแต่เดือนมีนาคม แต่ไมโครซอฟท์เพิ่งรายงานถึงช่องโหว่นี้อย่างละเอียด โดยก่อนหน้านี้ไม่นานก็มีนักวิจัยภายนอกพบว่า TikTok แทรกจาวาสคริปต์ลงในเบราว์เซอร์ในแอป

ที่มา - Microsoft

No Description

Get latest news from Blognone

Comments

By: Azymik on 1 September 2022 - 02:21 #1260031

บนแอนดรอยด์คลิปแล้ว

บนแอนดรอยด์คลิกแล้ว

ลิงก์ในแอปเท่านั้

ลิงก์ในแอปเท่านั้น

By: KuLiKo
ContributoriPhoneWindows PhoneAndroid
on 1 September 2022 - 10:24 #1260056
KuLiKo's picture

นี่แหละครับโอกาสอันดีที่จะได้แบน Tiktok ในสหรัฐ