TikTok 存在允许一键式帐户泄露的高严重性错误

TikTok-Logo-Official-696x696.jpg.webp

目前的社交媒体应用程序 TikTok 存在一个重大漏洞,可能使威胁参与者控制任何帐户。这个问题似乎只影响 Android 版本的社交媒体应用程序。

Microsoft 365 Defender 研究团队已详细说明了该问题。在一篇博文中,该团队解释说,数亿 TikTok 用户可能面临该漏洞的风险。如果目标受害者与恶意链接交互,则攻击可以直接控制他们的帐户。

微软向 TikTok 披露了该漏洞,该公司随后发布了补丁。然而,与所有安全问题一样,主要问题来自是否每个人都安装了带有补丁的更新。

在其文章中,Microsoft 365 Defender 研究团队将该漏洞标记为“高严重性漏洞”。从本质上讲,这意味着微软认为这对用户来说是一个巨大的风险。该公司表示,攻击者可能使用它来劫持帐户。另一个担忧是在受害者不知情的情况下会发生违规行为。

威胁者会生成恶意链接并将其发送给 TikTok 用户。如果用户单击该链接,攻击者将立即访问该帐户的所有方面。这包括能够发布视频、发送/接收消息以及查看存储的私人内容。

快速反应

虽然攻击仅限于 Android,但它确实影响了 TikTok 应用程序的所有全球版本。Android 是世界上最受欢迎的操作系统,而 TikTok 是最受欢迎的应用程序之一。它在平台上的下载量超过 15 亿次。

值得注意的是,TikTok告诉 The Verge,“没有证据表明它被不良演员利用,” TikTok 发言人 Maureen Shanahan 说。“参与发现和披露的研究人员称赞 TikTok 的快速反应。”

至于微软,它证实了 TikTok 的事件版本,称该公司迅速采取行动来弥补漏洞:

“我们向他们提供了有关该漏洞的信息,并合作帮助解决了这个问题”,Microsoft Defender for Endpoint 安全研究合作伙伴主管 Tanmay Ganacharya 告诉The Verge。“TikTok 反应迅速,我们对安全团队高效专业的解决方案表示赞赏。”

微软在其博客文章中详细介绍了该漏洞。该公司表示,该问题来自 TikTok Android 应用程序中的深层链接功能。这是告诉操作系统以某种方式处理特定应用程序链接的功能。例如,当用户单击网页上的链接时打开第三方应用程序。

未经允许不得转载:表盘吧 » TikTok 存在允许一键式帐户泄露的高严重性错误