microsoft发布报告指,发现了android版tiktok的严重漏洞,允许黑客利用附加javascript接口一键接管用户的tiktok账户,随意发布视频及发送消息。
microsoft在周三(31日)发布报告,指旗下microsoft 365 defender研究团队安全研究人员在android版tiktok应用程序上发现名为cve-2022-28799的严重漏洞,cvss评分达8.8,属重大危险等级的漏洞,被美国国家标准暨技术研究院(nist)描述为允许黑客利用附加javascript接口一键接管。因此用户一不慎按进有毒的连接,便会被黑客入侵用户的tiktok账户,能以用户名义随意发布视频及发送消息。
microsoft表示,该漏洞令连接可绕过应用程序的深度连接验证(deeplink verification),黑客便能强制应用程序加载任何的url至webview,再允许该url连接webview的附加javascript bridges,通过触发被黑服务器而绕过用户登录安全验证,再取得cookie记录及获取用户的tiktok身份验证。
现在android版tiktok下载量超过15亿,tiktok表示已修复有关问题并推出更新版,并建议所有使用23.7.3版本前的用户将程序更新,以确保修户安全。
365 defender研究人员dimitrios valsamaras建议用户应避免点击及下载来源不明的连接和应用程序,并确保所有设备及应用程序更新至最新版本,当发现任何可疑内容时,应立刻向开发者报告,以抵御安全漏洞的攻击。
数据源:forbes