Categories: 科技新聞

Android 版 TikTok 現嚴重漏洞 按錯一個連結可被黑客接管帳戶

Published by
Christy
Share

Microsoft 發表報告指,發現了 Android 版 TikTok 的嚴重漏洞,允許黑客利用附加 JavaScript 介面一鍵接管用戶的 TikTok 帳戶,隨意發布影片及傳送訊息。

 

Microsoft 在周三(31 日)發表報告,指旗下 Microsoft 365 Defender 研究團隊安全研究人員在 Android 版 TikTok 應用程式上發現名為 CVE-2022-28799 的嚴重漏洞,CVSS 評分達 8.8,屬重大危險等級的漏洞,被美國國家標準暨技術研究院(NIST)描述為允許黑客利用附加 JavaScript 介面一鍵接管。因此用家一不慎按進有毒的連結,便會被黑客入侵用戶的 TikTok 帳戶,能以用戶名義隨意發布影片及傳送訊息。

 

Microsoft 表示,該漏洞令連結可繞過應用程式的深度連結驗證(Deeplink Verification),黑客便能強制應用程式加載任何的 URL 至WebView,再允許該 URL 連接 WebView 的附加 JavaScript bridges,透過觸發被黑服務器而繞過用戶登錄安全驗證,再取得 Cookie 記錄及獲取用戶的 TikTok 身分驗證。

 

現時 Android 版 TikTok 下載量超過 15 億,TikTok 表示已修復有關問題並推出更新版,並建議所有使用 23.7.3 版本前的用戶將程式更新,以確保用戶安全。

 

365 Defender 研究人員 Dimitrios Valsamaras 建議用戶應避免點擊及下載來源不明的連結和應用程式,並確保所有裝置及應用程式更新至最新版本,當發現任何可疑內容時,應立刻向開發者報告,以抵禦安全漏洞的攻擊。

 

資料來源:Forbes

unwire.hk Mewe 專頁 : https://mewe.com/p/unwirehk

Published by
Christy