据TheVerge8月31日报道,Android版TikTok存在高危漏洞,可能是被攻击者用来实现一键劫持账号,影响数亿用户。Microsoft365防御研究团队在博文中披露了该漏洞的详细信息,影响23.7.3之前的Android版本。该漏洞是在微软向TikTok报告后修复的。该博文透露,一旦TikTok用户点击特制链接,攻击者就可以在用户不知情的情况下劫持账户,访问和修改用户的个人数据、敏感信息、发送消息和上传视频。该漏洞会影响Android应用程序的深度链接功能。这种深层链接指示操作系统如何处理该链接,例如点击网页中嵌入的“关注此帐户”按钮,该按钮将跳转到Twitter以关注用户。这个链接过程还包括一个验证过程,但是研究人员找到了一种绕过这个验证过程的方法,可以在应用程序中执行一些潜在的攻击功能。在一次概念验证攻击中,研究人员制作了一个恶意链接,点击该链接后,TikTok帐户的个人简介将更改为“安全漏洞”。TikTok在其CVE-2022-28799的Mitre数据库条目中表示,精心制作的URL(未经身份验证的深层链接)可以在新窗口中加载任意网站。这可能允许攻击者利用额外的JavaScript接口进行一键接管。该漏洞的潜在影响巨大,Android版TikTok在谷歌应用商店的下载量已超过15亿次。好消息是,TikTok发言人MaureenShanahan回应称,目前没有证据表明该漏洞被恶意利用。微软确认TikTok反应迅速并修复了漏洞。此前,据PCMAG报道,一名安全研究人员发现,在TikTokiOS版应用程序中打开任何外部链接都会触发监控并记录所有键盘输入和屏幕点击。但TikTok发言人否认了这一说法,称“TikTok不会收集屏幕点击或通过JavaScript代码输入的文本,这些仅用于调试、故障排除和性能监控”。
