Android 版 TikTok 現嚴重漏洞,按錯連結就被駭客接管帳號

作者 | 發布日期 2022 年 09 月 06 日 7:45 | 分類 社群 , 網路 , 資訊安全 Telegram share ! follow us in feedly


微軟發表報告,發現 Android 版 TikTok 嚴重漏洞,允許駭客利用附加 JavaScript 介面一鍵接管用戶 TikTok 帳戶,隨意發影片及傳送訊息。

微軟 8 月 31 日報告,指微軟 365 Defender 研究團隊安全研究人員在 Android 版 TikTok 應用程式發現 CVE-2022-28799 漏洞,CVSS 評分達 8.8,屬重大危險等級,美國國家標準暨技術研究院(NIST)描述為允許駭客利用附加 JavaScript 介面一鍵接管。使用者若不慎點了有毒連結,便會馬上被駭客入侵 TikTok 帳號,以用戶名義隨意發影片及傳訊息。

微軟表示,漏洞讓連結繞過應用程式的深度連結驗證(Deeplink Verification),駭客便能強制應用程式加載任何 URL 至 WebView,再允許 URL 連接 WebView 的附加 JavaScript bridges,透過觸發被駭伺服器繞過用戶登入安全驗證,再取得 Cookies 紀錄及取得用戶 TikTok 身分驗證。

現在 Android 版 TikTok 下載量超過 15 億,TikTok 表示已修復問題並推出更新版,建議所有使用 23.7.3 版本前用戶更新,以確保安全。

365 Defender 研究人員 Dimitrios Valsamaras 建議用戶應避免點擊及下載來源不明的連結和應用程式,並確保所有裝置及應用程式更新至最新版,當發現任何可疑內容,應立刻向開發者報告,以抵禦漏洞攻擊。

(本文由 Unwire HK 授權轉載;首圖來源:Unsplash