기술

Tik Tok 버그는 링크를 클릭하는 것만으로 사람들의 사용자 계정을 훔칠 가능성을 제공합니다

미 재무부 제재 명단에 자레푸르 포함

최근 미 재무부가 발표한 보도자료에는 최근 제재 대상자 가운데 이사 자푸르(Issa Zarepour) 통신 장관의 이름이 거론됐다. 이 성명서에서 "수백만 이란인의 Read more

똑똑하거나 어리석은 외계인; 어느 것을 찾아야 합니까?

우리가 세상에 혼자라고 말할 때 외로움은 정확히 무엇을 의미합니까? 외계 생명체에 대한 탐색은 지금까지 가장 큰 천문학적 프로젝트 중 하나였습니다. Read more

Microsoft는 TikTok Android 앱에서 공격자가 사용자를 속여 링크를 클릭하도록 하여 계정을 도용할 수 있는 치명적인 보안 결함을 발견했습니다. 그런데 디미트리오스 발사마라스다행히 TikTok의 모회사인 ByteDance의 개발자들은 취약점을 발견한 후 신속하게 패치를 적용했습니다.

Microsoft의 보안 연구원이 취약점 발견에 대한 보상 프로그램을 통해 Tik Tok에 이 버그를 보고했다는 점에 유의해야 합니다. TikTok 보안 결함은 CVE-2022-28799로 식별되며 현재 문제가 수정되었지만 Microsoft는 Android의 모든 TikTok 사용자가 가능한 한 빨리 업데이트할 것을 권장합니다.

TikTok의 보안 결함은 Android 버전의 WebView 구성 요소를 통해 악용될 수 있는 JavaScript 사용자 인터페이스에 있습니다. 이 소셜 플랫폼의 Android 애플리케이션은 Google Play 스토어에서 15억 번 다운로드되었습니다. WebView는 Android의 구성 요소이며 Java 및 Kotlin으로 작성된 이 운영 체제의 애플리케이션이 사용자에게 원하는 웹 콘텐츠를 표시할 수 있도록 합니다. CVE-2022-28799에 대한 설명의 일부는 다음과 같습니다.

Android용 TikTok 버전 23.7.3 이상에서는 공격자가 링크를 클릭하여 사람들의 계정을 탈취할 수 있습니다. 실제로 공격자는 첨부된 JavaScript 인터페이스를 사용하여 클릭 한 번으로 대상의 사용자 계정을 탈취합니다.

Valsamaras는 블로그 게시물에서 두 가지 버전의 TikTok Android 앱이 있다고 언급했습니다. 하나는 동아시아 및 동남아시아를 위한 패키지 이름 com.ss.android.ugc.trill이고 다른 하나는 패키지 이름이 com.zhiliaoapp.musically입니다. 나머지 세계. 이 취약점은 두 버전 모두에 존재합니다. Valsamaras는 다음과 같이 씁니다.

TikTok 보안 팀의 효율적이고 전문적인 노력에 찬사를 보냅니다. 또한 이 앱의 모든 사용자는 최신 버전으로 업데이트할 것을 권장합니다.

안드로이드 버전의 TikTok에서 발견된 취약점은 이 프로그램의 개발자가 WebView에 구현한 JavaScript 인터페이스에 의해 발생합니다. 이 인터페이스는 브리지와 같은 기능을 제공할 수 있습니다. 따라서 웹 페이지의 JavaScript 코드는 Java 프로그래밍 언어 또는 응용 프로그램의 특정 클래스를 기반으로 메서드를 호출합니다. Valsamaras는 그의 설명에서 다음과 같이 말합니다.

JavaScript 코드를 통해 액세스 가능한 개체가 있는 WebView에 신뢰할 수 없는 웹 콘텐츠를 로드하면 응용 프로그램이 코드 삽입에 취약해지고 데이터 누출이나 데이터 손상, 때로는 공격자의 임의 코드 실행으로 이어질 수 있습니다.

그러나 Valsamaras에 따르면 실제 취약점은 TikTok 애플리케이션이 Android에서 딥 링크를 처리하는 방식에 있습니다. 개발자는 딥 링크를 사용하여 앱에서 선택한 구성 요소에 연결할 수 있습니다.

마샬라 매튜  Max Holding은 "Car 45"에 투자합니다.

Valsamaras는 사용자가 이러한 유형의 링크를 클릭하면 Android의 패키지 관리자가 설치된 모든 앱을 확인하여 해당 링크에 응답할 수 있는 앱을 확인한 다음 컨트롤러로 선언된 회사로 리디렉션한다고 말합니다. TikTok의 JavaScript 인터페이스 구현은 취약점의 영향을 드러냈습니다. Valsamaras는 다음과 같이 씁니다.

앱에서 딥 링크가 처리된 방식을 조사하는 동안 함께 연결될 때 앱이 앱의 WebView에서 임의의 URL을 로드하도록 강제하는 데 사용될 수 있는 몇 가지 문제를 발견했습니다.

관련 기사:

Microsoft는 WebView에 로드된 웹 페이지에서 JavaScript 코드의 액세스 가능한 기능을 검사할 때 70가지 이상의 확실한 방법을 발견했습니다. 이 취약점을 공개된 방법과 결합하면 공격자가 영향을 받는 사용자의 개인 데이터를 보고 수정할 수 있는 더 많은 기능을 사용할 수 있습니다.

마샬라 매튜  더 큰 디스플레이에서 체온 감지 센서로; Apple Watch Pro에 대해 우리가 알고 있는 모든 것

언급된 방법을 호출하여 공격자는 제어 대상 서버에 요청을 제출하고 요청 헤더에 쿠키를 등록하여 사용자의 인증 토큰을 식별할 수 있습니다. 또한 공격자는 개인 비디오 및 프로필 설정을 포함하여 사용자의 TikTok 계정 데이터를 검색하거나 변경할 수 있습니다. Valsamaras는 다음과 같이 말합니다.

간단히 말해서, 악의적인 에이전트는 인증된 HTTP 요청을 만들 수 있는 모든 방법을 제어하여 TikTok 계정을 손상시킵니다.

Microsoft는 JavaScript 인터페이스를 사용하는 것이 좋은 생각이 아니며 중요한 위험을 초래할 것이라고 생각합니다. 이 방법을 사용하면 잠재적으로 공격자가 애플리케이션 ID와 권한을 사용하여 원하는 코드를 실행할 수 있기 때문입니다. 이 회사는 이전에 다른 여러 인기 있는 Android 앱의 JavaScript 인터페이스에 세부적인 결함이 있었습니다.

마샬라 매튜  공동 통역사; 온라인 영어 수업 주최자 플랫폼

Redmonds는 개발자가 대신 승인된 신뢰할 수 있는 도메인 목록을 사용하여 URL을 WebView에 로드하여 악의적이거나 잘못된 웹 콘텐츠를 로드하지 않도록 권장합니다. Google은 또한 Android 애플리케이션 개발자가 JavaScript 인터페이스의 코드 삽입 취약점을 수정하는 데 사용할 수 있는 페이지를 게시했습니다.

Related Articles

답글 남기기

이메일 주소는 공개되지 않습니다.

Back to top button