Microsoft发布报告指,发现了Android版TikTok的严重漏洞,允许黑客利用附加JavaScript接口一键接管用户的TikTok账户,随意发布视频及发送消息。
Microsoft在周三(31日)发布报告,指旗下Microsoft 365 Defender研究团队安全研究人员在Android版TikTok应用程序上发现名为CVE-2022-28799的严重漏洞,CVSS评分达8.8,属重大危险等级的漏洞,被美国国家标准暨技术研究院(NIST)描述为允许黑客利用附加JavaScript接口一键接管。因此用户一不慎按进有毒的连接,便会被黑客入侵用户的TikTok账户,能以用户名义随意发布视频及发送消息。
Microsoft表示,该漏洞令连接可绕过应用程序的深度连接验证(Deeplink Verification),黑客便能强制应用程序加载任何的URL至WebView,再允许该URL连接WebView的附加JavaScript bridges,通过触发被黑服务器而绕过用户登录安全验证,再取得Cookie记录及获取用户的TikTok身份验证。
现在Android版TikTok下载量超过15亿,TikTok表示已修复有关问题并推出更新版,并建议所有使用23.7.3版本前的用户将程序更新,以确保修户安全。
365 Defender研究人员Dimitrios Valsamaras建议用户应避免点击及下载来源不明的连接和应用程序,并确保所有设备及应用程序更新至最新版本,当发现任何可疑内容时,应立刻向开发者报告,以抵御安全漏洞的攻击。
数据源:Forbes