微软在 TikTok Android 应用程序中发现的一个严重漏洞可能允许黑客劫持数百万个帐户。周三,该公司365防御者研究组详细介绍了它在 2 月份通知 TikTok 的一键式漏洞利用。好消息是,这家社交媒体公司在今天披露之前立即修复了该漏洞,微软表示没有证据表明有人在野外使用它。
“我们向他们提供了有关漏洞的信息,并合作帮助解决了这个问题,”微软的 Tanmay Ganacharya 告诉边缘. “TikTok 反应迅速,我们赞扬安全团队的高效和专业解决方案。”
据微软称,该漏洞涉及对 TikTok 深度链接功能的疏忽。在 Android 上,开发人员可以对他们的应用程序进行编程,以特定方式处理某些 URL。例如,当您点击嵌入在 Chrome 中的 Twitter 时,Twitter 应用程序会自动在您的手机上打开,这就是深度链接功能按预期工作的示例。
然而,微软找到了一种方法来绕过 TikTok 的验证过程,以限制深层链接执行某些操作。然后他们发现他们可以利用该漏洞访问帐户的所有主要功能,包括发布内容和向其他 TikTok 用户发送消息的能力。该漏洞存在于 TikTok 的 Android 应用程序的两个全球版本中。这两个版本之间的下载量超过 15 亿次,这意味着有人在修补漏洞之前发现该漏洞的潜在影响可能是巨大的。
微软建议 Android 上的所有 TikTok 用户尽快下载该应用程序的最新版本。更广泛地说,您可以通过不单击粗略链接来保护自己在未来免受类似攻击。避免侧载应用程序也是一种很好的做法,因为您不知道有人如何更改 APK。
原文: https://www.engadget.com/tiktok-android-one-click-exploit-found-180028206.html?src=rss