TikTok dicht lekken die uploaden video op account slachtoffer mogelijk maakten

Sociaal medium TikTok heeft lekken gedicht die het mogelijk maakten voor een aanvaller om een video te uploaden op het account van een slachtoffer, video's te verwijderen of privévideo's openbaar te maken. Het volledig overnemen van een account kon niet.

TikTok: xss-lek
Xss Bron: Check Point Research

De aanval was mogelijk door meerdere exploits naast elkaar te gebruiken, meldt Check Point Research. De belangrijkste daarbij waren dat het op twee manieren mogelijk was om willekeurige Javascript uit te voeren in de app met de cookies van een gebruiker die op een link klikt. Daardoor kon een aanvaller Javascript uitvoeren terwijl een gebruiker was ingelogd.

De ene is een xss-lek op ads.tiktok.com, waarbij de site de invoer niet checkte. Het andere lek zat in het niet controleren van de url achter een redirect, zodat gebruikers na het inloggen op een webpagina van een aanvaller terecht konden komen.

De aanval kon beginnen via de sms-functie op de website van TikTok, waarmee gebruikers zichzelf een link kunnen sturen om de TikTok-app te downloaden. Daarbij bleek het makkelijk voor een aanvaller om de downloadlink te wijzigen om zo elke willekeurige url te sturen. Zolang de url begint volgens een bepaald formaat, zal een mobiel besturingssysteem die openen in de TikTok-app. De sms lijkt van TikTok te komen.

Vervolgens bleek het mogelijk om Javascript uit te voeren via xss of de redirect-truc. Met die Javascript bleek het mogelijk de server te vragen een video toe te voegen, te verwijderen of te wijzigen. Het overnemen van het account is via de truc niet mogelijk. TikTok heeft de lekken vorige maand gedicht. Er lijkt geen grootschalig misbruik te zijn geweest van de lekken.

Door Arnoud Wokke

Redacteur Tweakers

08-01-2020 • 18:01

3

Reacties (3)

3
3
0
0
0
0
Wijzig sortering
wat een rare titel.
Mee eens, maar daar hebben we Geachte Redactie voor.
Moest hem 5x lezen voordat ik er iets van kon maken. 8)7

Op dit item kan niet meer gereageerd worden.