最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

微软发现TikTok Android的严重漏洞很容易被黑客入侵

网络安全 快米云 来源:快米云 62浏览

微软在 2 月份发现并报告了 TikTok Android 应用程序中的一个高度严重的漏洞,该漏洞允许攻击者通过诱骗目标点击特制的恶意链接,一键“快速而安静地”接管账户。

Microsoft 365 Defender 研究团队的 Dimitrios Valsamaras 说:“如果目标用户只是单击特制链接,攻击者可能会利用该漏洞在用户不知情的情况下劫持帐户。”

“然后攻击者可以访问和修改用户的 TikTok 个人资料和敏感信息,例如通过公开私人视频、发送消息和代表用户上传视频。”

单击该链接会暴露 70 多种 JavaScript 方法,攻击者可能会借助旨在劫持 TikTok 应用程序的 WebView(易受攻击的应用程序用于显示 Web 内容的 Android 系统组件)的漏洞来滥用这些方法。

使用暴露的方法,威胁者可以访问或修改 TikTok 用户的私人信息或执行经过身份验证的 HTTP 请求。

简而言之,成功利用此漏洞的攻击者可能很容易:

检索用户的身份验证令牌(通过触发对其控制下的服务器的请求并记录 cookie 和请求标头)
检索或修改用户的 TikTok 帐户数据,包括私人视频和个人资料设置(通过触发对 TikTok 端点的请求并通过 JavaScript 回调检索回复)
“在 TikTok Android 应用程序上发现了一个 WebView 劫持漏洞,该漏洞是通过未经验证的参数上的未经验证的深层链接发现的。这可能导致通过 JavaScript 接口劫持帐户,”HackerOne 报告进一步解释道。

现在已修补,未在攻击中利用
该安全漏洞被跟踪为 CVE-2022-28799,自 TikTok 23.7.3 版本发布以来,该漏洞现已得到修补,该版本在微软首次披露不到一个月后发布。

微软表示,尚未发现 CVE-2022-28799 在野外被利用的证据。

TikTok 用户可以通过不点击来自不受信任来源的链接、保持其应用程序处于最新状态、仅安装来自官方来源的应用程序以及尽快报告任何奇怪的应用程序行为来防御类似问题。

有关此漏洞如何被用于帐户接管攻击的其他信息,请参阅 Microsoft 的报告。

2020 年 11 月,TikTok 修复了一些漏洞,这些漏洞 使威胁行为者能够快速劫持通过第三方应用注册的用户的账户。

该公司还解决了其他安全漏洞,这些漏洞可能使攻击者 能够窃取用户的个人信息 或 劫持他们的账户来操纵视频。

根据其 Google Play Store 条目,TikTok 的 Android 应用拥有 超过 10 亿的安装量。 根据 Sensor Tower Store Intelligence 的估计,自 2020 年 4 月以来,这款移动应用在所有平台上的安装量已 超过 20 亿次。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 微软发现TikTok Android的严重漏洞很容易被黑客入侵