“Les attaquants auraient pu exploiter la vulnérabilité pour compromettre un compte à l’insu des utilisateurs si un utilisateur ciblé cliquait simplement sur un lien spécialement conçu”, a déclaré Dimitrios Valsamaras du groupe de recherche Microsoft 365 Defender. dit-il dans une déclaration écrite. L’exploitation réussie de la faille aurait pu permettre à des acteurs malveillants d’accéder et de modifier les profils TikTok et les informations sensibles des utilisateurs, conduisant à une exposition non autorisée de vidéos privées. Les attaquants peuvent également avoir exploité la faille pour envoyer des messages et télécharger des vidéos au nom des utilisateurs. – Publicité – Le problème, résolu dans la version 23.7.3, affecte deux variantes de l’application Android com.ss.android.ugc.trill (pour les utilisateurs d’Asie de l’Est et du Sud-Est) et com.zhiliaoapp.musically (pour les utilisateurs d’autres pays que l’Inde, où interdit). Combinées, les applications ont plus de 1,5 milliard d’installations entre elles. Suivie sous le nom de CVE-2022-28799 (score CVSS : 8,8), la vulnérabilité est liée à la gestion par l’application d’un soi-disant lien profond, un lien hypertexte spécial qui permet aux applications d’ouvrir une ressource spécifique à une autre application installée sur l’appareil. au lieu de diriger les utilisateurs vers un site Web. “Une URL spécialement conçue (lien profond non validé) peut amener WebView com.zhiliaoapp.musically à charger un site Web arbitraire”, selon un avis de la faille. “Cela peut permettre à un attaquant d’exploiter une interface JavaScript liée pour un retrait en un clic.” En termes simples, la faille permet de contourner les restrictions d’application pour renvoyer les hôtes non fiables et charger n’importe quel site Web du choix de l’attaquant via le système Android. WebView, un mécanisme d’affichage de contenu Web dans d’autres applications. “Le filtrage est effectué côté serveur, et la décision de charger ou de rejeter une URL est basée sur la réponse reçue d’une requête HTTP GET particulière”, a expliqué Valsamaras, ajoutant que l’analyse statique “indique qu’il est possible de contourner le serveur de vérification -side en ajoutant deux paramètres supplémentaires au lien profond.” L’une des conséquences de cet exploit conçu pour compromettre WebView afin de charger des sites Web malveillants est qu’il pourrait permettre à un adversaire d’invoquer plus de 70 points de terminaison TikTok exposés, compromettant l’intégrité du profil d’un utilisateur. Il n’y a aucune preuve que l’insecte était une arme dans la nature. “Du point de vue de la programmation, l’utilisation d’interfaces JavaScript comporte des risques importants”, a noté Microsoft. “Une interface JavaScript compromise pourrait potentiellement permettre aux attaquants d’exécuter du code en utilisant l’identité et les privilèges de l’application.”

title: “Microsoft D Couvre Un S Rieux Exploit En Un Clic Pour L Application Android Tiktok Klmat” ShowToc: true date: “2022-11-14” author: “Lynn Mildren”

“Les attaquants auraient pu exploiter la vulnérabilité pour compromettre un compte à l’insu des utilisateurs si un utilisateur ciblé cliquait simplement sur un lien spécialement conçu”, a déclaré Dimitrios Valsamaras du groupe de recherche Microsoft 365 Defender. dit-il dans une déclaration écrite. L’exploitation réussie de la faille aurait pu permettre à des acteurs malveillants d’accéder et de modifier les profils TikTok et les informations sensibles des utilisateurs, conduisant à une exposition non autorisée de vidéos privées. Les attaquants peuvent également avoir exploité la faille pour envoyer des messages et télécharger des vidéos au nom des utilisateurs. – Publicité – Le problème, résolu dans la version 23.7.3, affecte deux variantes de l’application Android com.ss.android.ugc.trill (pour les utilisateurs d’Asie de l’Est et du Sud-Est) et com.zhiliaoapp.musically (pour les utilisateurs d’autres pays que l’Inde, où interdit). Combinées, les applications ont plus de 1,5 milliard d’installations entre elles. Suivie sous le nom de CVE-2022-28799 (score CVSS : 8,8), la vulnérabilité est liée à la gestion par l’application d’un soi-disant lien profond, un lien hypertexte spécial qui permet aux applications d’ouvrir une ressource spécifique à une autre application installée sur l’appareil. au lieu de diriger les utilisateurs vers un site Web. “Une URL spécialement conçue (lien profond non validé) peut amener WebView com.zhiliaoapp.musically à charger un site Web arbitraire”, selon un avis de la faille. “Cela peut permettre à un attaquant d’exploiter une interface JavaScript liée pour un retrait en un clic.” En termes simples, la faille permet de contourner les restrictions d’application pour renvoyer les hôtes non fiables et charger n’importe quel site Web du choix de l’attaquant via le système Android. WebView, un mécanisme d’affichage de contenu Web dans d’autres applications. “Le filtrage est effectué côté serveur, et la décision de charger ou de rejeter une URL est basée sur la réponse reçue d’une requête HTTP GET particulière”, a expliqué Valsamaras, ajoutant que l’analyse statique “indique qu’il est possible de contourner le serveur de vérification -side en ajoutant deux paramètres supplémentaires au lien profond.” L’une des conséquences de cet exploit conçu pour compromettre WebView afin de charger des sites Web malveillants est qu’il pourrait permettre à un adversaire d’invoquer plus de 70 points de terminaison TikTok exposés, compromettant l’intégrité du profil d’un utilisateur. Il n’y a aucune preuve que l’insecte était une arme dans la nature. “Du point de vue de la programmation, l’utilisation d’interfaces JavaScript comporte des risques importants”, a noté Microsoft. “Une interface JavaScript compromise pourrait potentiellement permettre aux attaquants d’exécuter du code en utilisant l’identité et les privilèges de l’application.”

title: “Microsoft D Couvre Un S Rieux Exploit En Un Clic Pour L Application Android Tiktok Klmat” ShowToc: true date: “2022-11-12” author: “Andrew Batson”

“Les attaquants auraient pu exploiter la vulnérabilité pour compromettre un compte à l’insu des utilisateurs si un utilisateur ciblé cliquait simplement sur un lien spécialement conçu”, a déclaré Dimitrios Valsamaras du groupe de recherche Microsoft 365 Defender. dit-il dans une déclaration écrite. L’exploitation réussie de la faille aurait pu permettre à des acteurs malveillants d’accéder et de modifier les profils TikTok et les informations sensibles des utilisateurs, conduisant à une exposition non autorisée de vidéos privées. Les attaquants peuvent également avoir exploité la faille pour envoyer des messages et télécharger des vidéos au nom des utilisateurs. – Publicité – Le problème, résolu dans la version 23.7.3, affecte deux variantes de l’application Android com.ss.android.ugc.trill (pour les utilisateurs d’Asie de l’Est et du Sud-Est) et com.zhiliaoapp.musically (pour les utilisateurs d’autres pays que l’Inde, où interdit). Combinées, les applications ont plus de 1,5 milliard d’installations entre elles. Suivie sous le nom de CVE-2022-28799 (score CVSS : 8,8), la vulnérabilité est liée à la gestion par l’application d’un soi-disant lien profond, un lien hypertexte spécial qui permet aux applications d’ouvrir une ressource spécifique à une autre application installée sur l’appareil. au lieu de diriger les utilisateurs vers un site Web. “Une URL spécialement conçue (lien profond non validé) peut amener WebView com.zhiliaoapp.musically à charger un site Web arbitraire”, selon un avis de la faille. “Cela peut permettre à un attaquant d’exploiter une interface JavaScript liée pour un retrait en un clic.” En termes simples, la faille permet de contourner les restrictions d’application pour renvoyer les hôtes non fiables et charger n’importe quel site Web du choix de l’attaquant via le système Android. WebView, un mécanisme d’affichage de contenu Web dans d’autres applications. “Le filtrage est effectué côté serveur, et la décision de charger ou de rejeter une URL est basée sur la réponse reçue d’une requête HTTP GET particulière”, a expliqué Valsamaras, ajoutant que l’analyse statique “indique qu’il est possible de contourner le serveur de vérification -side en ajoutant deux paramètres supplémentaires au lien profond.” L’une des conséquences de cet exploit conçu pour compromettre WebView afin de charger des sites Web malveillants est qu’il pourrait permettre à un adversaire d’invoquer plus de 70 points de terminaison TikTok exposés, compromettant l’intégrité du profil d’un utilisateur. Il n’y a aucune preuve que l’insecte était une arme dans la nature. “Du point de vue de la programmation, l’utilisation d’interfaces JavaScript comporte des risques importants”, a noté Microsoft. “Une interface JavaScript compromise pourrait potentiellement permettre aux attaquants d’exécuter du code en utilisant l’identité et les privilèges de l’application.”

title: “Microsoft D Couvre Un S Rieux Exploit En Un Clic Pour L Application Android Tiktok Klmat” ShowToc: true date: “2022-12-03” author: “Jason Perkins”

“Les attaquants auraient pu exploiter la vulnérabilité pour compromettre un compte à l’insu des utilisateurs si un utilisateur ciblé cliquait simplement sur un lien spécialement conçu”, a déclaré Dimitrios Valsamaras du groupe de recherche Microsoft 365 Defender. dit-il dans une déclaration écrite. L’exploitation réussie de la faille aurait pu permettre à des acteurs malveillants d’accéder et de modifier les profils TikTok et les informations sensibles des utilisateurs, conduisant à une exposition non autorisée de vidéos privées. Les attaquants peuvent également avoir exploité la faille pour envoyer des messages et télécharger des vidéos au nom des utilisateurs. – Publicité – Le problème, résolu dans la version 23.7.3, affecte deux variantes de l’application Android com.ss.android.ugc.trill (pour les utilisateurs d’Asie de l’Est et du Sud-Est) et com.zhiliaoapp.musically (pour les utilisateurs d’autres pays que l’Inde, où interdit). Combinées, les applications ont plus de 1,5 milliard d’installations entre elles. Suivie sous le nom de CVE-2022-28799 (score CVSS : 8,8), la vulnérabilité est liée à la gestion par l’application d’un soi-disant lien profond, un lien hypertexte spécial qui permet aux applications d’ouvrir une ressource spécifique à une autre application installée sur l’appareil. au lieu de diriger les utilisateurs vers un site Web. “Une URL spécialement conçue (lien profond non validé) peut amener WebView com.zhiliaoapp.musically à charger un site Web arbitraire”, selon un avis de la faille. “Cela peut permettre à un attaquant d’exploiter une interface JavaScript liée pour un retrait en un clic.” En termes simples, la faille permet de contourner les restrictions d’application pour renvoyer les hôtes non fiables et charger n’importe quel site Web du choix de l’attaquant via le système Android. WebView, un mécanisme d’affichage de contenu Web dans d’autres applications. “Le filtrage est effectué côté serveur, et la décision de charger ou de rejeter une URL est basée sur la réponse reçue d’une requête HTTP GET particulière”, a expliqué Valsamaras, ajoutant que l’analyse statique “indique qu’il est possible de contourner le serveur de vérification -side en ajoutant deux paramètres supplémentaires au lien profond.” L’une des conséquences de cet exploit conçu pour compromettre WebView afin de charger des sites Web malveillants est qu’il pourrait permettre à un adversaire d’invoquer plus de 70 points de terminaison TikTok exposés, compromettant l’intégrité du profil d’un utilisateur. Il n’y a aucune preuve que l’insecte était une arme dans la nature. “Du point de vue de la programmation, l’utilisation d’interfaces JavaScript comporte des risques importants”, a noté Microsoft. “Une interface JavaScript compromise pourrait potentiellement permettre aux attaquants d’exécuter du code en utilisant l’identité et les privilèges de l’application.”