Microsoft обнаружила уязвимость в приложении TikTok

Исследователи Microsoft Defender Research Team опубликовали отчёт об уязвимости высокой степени в Android-версии приложения TikTok. Уязвимость может позволить злоумышленникам обойти проверку deeplink. Атакующие могут загрузить произвольный URL-адрес в компонент WebView, а затем через данный адрес получить доступ к подключенным мостам JavaScript WebView. Используя специальные JavaScript-методы, злоумышленники могут получить доступ к профилям пользователей, а также выполнять HTTP-запросы. Также в руках атакующих могут оказаться токены аутентификации, вся занесённая в аккаунт информация, видеозаписи с ограниченными правами доступа и настройки профиля. Уязвимость получила идентификатор CVE-2022-28799 и была исправлена в версии 23.7.3.


Обнаружено большое количество приложений, раскрывающих учётные данные AWS

Аналитики угроз Symantec Threat Hunting обнаружили 1859 мобильных приложений, содержащих жёстко закодированные учётные данные AWS (Amazon Web Services). Около 77% приложений содержали валидные токены доступа AWS, которые можно было использовать для прямого доступа к частным облачным сервисам. Кроме того, 47% хранили в себе валидные токены, которые злоумышленники могли использовать для доступа к многочисленным личным файлам через Amazon S3 (Amazon Simple Storage Service). Больше половины найденных приложений использует те же токены доступа AWS, что и другие приложения несмотря на различие компаний и разработчиков.


Apple выпустила обновление для старых устройств

Компания Apple презентовала обновление iOS 12.5.6 для старых устройств iPhone, iPad и iPod touch, устраняющее критическую уязвимость, которую активно использовали злоумышленники в своих атаках. Данная проблема получила идентификатор CVE-2022-32893 и оценку 8,8 балла по шкале CVSS. Уязвимость заключалась в выходе за пределы WebKit, что могло привести к выполнению произвольного кода при обработке вредоносного веб-контента. Разработчики заявили, что исправили данную ошибку и существенно усовершенствовали проверку границ.