據The Verge消息�����,TikTok 安卓版存在一個(gè)高危漏洞�����,攻擊者可能借此實(shí)現一鍵式賬戶(hù)劫持�����,影響數億用戶(hù)�。
微軟 365 防御研究小組在一篇博文中披露了該漏洞的細節��,影響范圍為 23.7.3 之前的安卓版本���。在微軟向 TikTok 報告后����,該漏洞已打上補丁���。
博文披露��,一旦 TikTok 用戶(hù)點(diǎn)擊一個(gè)特制鏈接����,攻擊者就可以在用戶(hù)不知情的情況下劫持賬戶(hù)�,訪(fǎng)問(wèn)和修改用戶(hù)的個(gè)人資料���、敏感信息���、發(fā)送消息�、上傳視頻��。
該漏洞影響了安卓應用的 deeplink(深度鏈接)功能�。這種深度鏈接會(huì )指令操作系統如何處理鏈接����,例如用戶(hù)點(diǎn)擊嵌入在網(wǎng)頁(yè)中的 "關(guān)注此賬戶(hù) "按鈕后����,會(huì )跳轉到推特關(guān)注某用戶(hù)����。
這種鏈接處理還包括一個(gè)驗證過(guò)程�,但研究人員發(fā)現了一種方法��,可以繞過(guò)這個(gè)驗證過(guò)程�,在應用程序中執行一些潛在的攻擊功能����。在一次概念驗證攻擊中��,研究人員制作了一個(gè)惡意鏈接�,點(diǎn)擊后將 TikTok 賬戶(hù)的簡(jiǎn)介改為 “SECURITY BREACH”��。
TikTok 在 CVE-2022-28799 的 Mitre 數據庫條目中表示���,精心制作的 URL(未經(jīng)驗證的 deeplink)可以在新窗口加載任意網(wǎng)站�����。這可能允許攻擊者利用附加的 JavaScript 接口進(jìn)行一鍵接管����。
該漏洞潛在影響巨大�,安卓版 TikTok 在谷歌應用商店的總下載量超過(guò)了 15 億次�����。好消息是�����,TikTok 發(fā)言人莫琳·沙納漢回應���,目前并無(wú)證據表明該漏洞被惡意利用����。微軟證實(shí)��,TikTok 快速反應并修復了該漏洞����。
此前���,據 PCMAG 報道��,一位安全研究人員發(fā)現�����,TikTok iOS 版本的應用內�����,打開(kāi)任何外部鏈接都會(huì )觸發(fā)監控���,記錄所有鍵盤(pán)輸入和屏幕點(diǎn)擊行為�。但 TikTok 發(fā)言人否認了這一說(shuō)法�,稱(chēng)“TikTok 不會(huì )通過(guò) JavaScript 代碼收集屏幕點(diǎn)擊或文本輸入內容�����,這些代碼僅用于調試��、故障排除和性能監控����。”
?����。?a href="http://www.wxlp666.cn/wechat/">邯鄲小程序開(kāi)發(fā))
