Уязвимости в TikTok позволяли взламывать аккаунты одним щелчком мыши

Разработчики китайского приложения TikTok исправили две уязвимости, эксплуатация которых могла позволить злоумышленникам перехватить контроль над учетными записями одним щелчком мыши.

Немецкий исследователь безопасности Мухаммед Таскиран обнаружил уязвимость отраженного межсайтового выполнения сценариев (XSS) в параметре URL-адреса TikTok, отражающем его значение без надлежащей очистки. Проблема также могла привести к утечке данных во время фаззинга доменов компании tiktok.com и m.tiktok.com.

Эксперт также обнаружил, что конечная точка API TikTok уязвима к атакам с подделкой межсайтовых запросов (CSRF), которые позволяют изменять пароли учетных записей пользователей, зарегистрированных с помощью сторонних приложений.

«Я объединил обе уязвимости, создав простую полезную JavaScript-нагрузку, запускающую CSRF, которую я ранее вставил в параметр уязвимого URL, чтобы заархивировать перехват учетной записи в один клик», — пояснил Таскиран.

Таскиран сообщил TikTok об уязвимостях, позволяющих перехватить контроль над учетными записями, 26 августа, и компания исправила проблемы 18 сентября.