放大(图片来源:Getty Images)
微软周三表示,它最近在 TikTok 的 Android 应用程序中发现了一个漏洞,当用户只点击一个错误链接时,攻击者可能会劫持账户。这家软件制造商表示,它在 2 月份通知了 TikTok 该漏洞,这家总部位于中国的社交媒体公司已经修复了该漏洞,该漏洞被跟踪为 CVE-2022-28799。
该漏洞存在于应用程序如何验证所谓的深度链接,这是用于访问移动应用程序中各个组件的特定于 Android 的超链接。深层链接必须在应用程序的清单中声明以在应用程序外使用,例如,在浏览器中单击 TikTok 链接的人会在 TikTok 应用程序中自动打开内容。
应用程序还可以加密声明 URL 域的有效性。例如,Android 上的 TikTok 声明域 m.tiktok.com。通常,TikTok 应用程序将允许将 tiktok.com 的内容加载到其 WebView 组件中,但禁止 WebView 加载来自其他域的内容。