Оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.
Відповідні патчі вийшли 18 вересня, інформація про баги була опублікована наприкінці минулого тижня, повідомляє Bleeping Computer.
Обидві проблеми виявив дослідник, який мешкає у Берліні та використовує псевдонім milly. Звіт про знахідки він подав в рамках програми пошуку багів, яка стартувала на платформі HackerOne, і в підсумку був удостоєний нагороди в розмірі 3860 доларів США.
Згідно запису milly на HackerOne, уразливість на сайті TikTok виникла через неадекватну санацію одного з параметрів URL і класифікується як “відбитий міжсайтовий скриптинг”. Експлуатація в даному випадку дозволяє виконати шкідливий код в браузері користувача за допомогою проведення XSS-атаки.
Ступінь небезпеки бага оцінена як висока (8,2 бала за шкалою CVSS), ідентифікатор CVE їй поки не присвоєно. Уразливість в клієнті TikTok належить до класу “підробка міжсайтових запитів” (CSRF).
Її використання дозволяє задати новий пароль для облікового запису, що допускає вхід через сторонні додатки (за технологією єдиного входу – SSO, Single Sign-On), і здійснювати дії від імені законного власника екаунта.
Для демонстрації вразливостей дослідник створив найпростіший JavaScript-експлойт для CSRF і впровадив його в URL TikTok як значення уразливого параметра. Використання цієї зв’язки допомогло milly ефективно перехопити контроль над екаунтом.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
У Zoom нарешті доступне наскрізне шифрування: як увімкнути його на своєму пристрої?
Фішингові листи: розпізнаємо шахрайство на реальному прикладі
Як зупинити отримання SMS на свій смартфон із розсилкою від торгових мереж?
Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ
Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ
Нагадаємо, компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.
Також мешканця міста Хмельницький впіймали на розповсюдженні конфіденційної інформації користувачів мережі Інтернет, серед якої були логіни та паролі доступу до різних інтернет-ресурсів, електронних поштових скриньок, облікових записів соціальних мереж та електронних гаманців
До речі, у WhatsApp з’явилася довгоочікувана функція, що дозволяє автоматично видаляти повідомлення. Тепер користувачі можуть включити “Автовидалення” для особистих чатів, після чого відправлені повідомлення будуть зникати через сім днів. У групових бесідах тільки адміністратори можуть включити або відключити нововведення.
Зверніть увагу, що зловмисники зловживають функціоналом Google Диска і використовують його для розсилки нібито легітимних електронних листів і push-повідомлень від Google, які в разі відкриття можуть перенаправити людей на шкідливі web-сайти.
Окрім цього, нову вимагацьку кампанію, націлену на користувачів сервісу для відеоконференцій Zoom, виявили дослідники Bitdefender Antispam Lab. Мова йде про так зване “інтимне вимагання” (sextortion), яке припало до смаку зловмисникам останнім часом.