TikTok安卓版遭遇高风险漏洞,允许攻击者通过特制链接一键劫持用户账户,影响广泛。微软365防御研究小组揭示了该漏洞的细节,并已得到TikTok的修复。虽然潜在影响巨大,但目前无证据表明漏洞被恶意利用。
据The Verge 8月31日消息, TikTok安卓版存在一个高危漏洞,攻击者可能借此实现一键式账户劫持,影响数亿用户 。
微软365防御研究小组在一篇博文中披露了该漏洞的细节, 影响范围为23.7.3之前的安卓版本 。在微软向TikTok报告后,
该漏洞已打上补丁 。
博文披露,一旦TikTok用户点击一个特制链接,攻击者就可以在用户不知情的情况下劫持账户,访问和修改用户的个人资料、敏感信息、发送消息、上传视频。
该漏洞影响了安卓应用的deeplink(深度链接)功能。这种深度链接会指令操作系统如何处理链接,例如用户点击嵌入在网页中的 "关注此账户
"按钮后,会跳转到推特关注某用户。
这种链接处理还包括一个验证过程,但研究人员发现了一种方法,可以绕过这个验证过程,在应用程序中执行一些潜在的攻击功能。在一次概念验证攻击中,研究人员制作了一个恶意链接,点击后将TikTok账户的简介改为
“SECURITY BREACH”。
TikTok在CVE-2022-28799的Mitre数据库条目中表示,精心制作的URL(未经验证的deeplink)可以在新窗口加载任意网站。这可能允许攻击者利用附加的JavaScript接口进行一键接管。
该漏洞潜在影响巨大ÿ
最低0.47元/天 解锁文章
3940
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
