东方时讯网微软透露,TikTokAndroid应用程序中的一个高严重性漏洞可能允许“单击一下”帐户被劫持。在一篇论文中(在新标签中打开)该公司在Microsoft安全博客上发布报告称,可能会滥用一系列问题来创建一个场景,即只需按一下特制链接,就可以破坏帐户。
微软解释说:“攻击者随后可以访问和修改用户的TikTok个人资料和敏感信息,例如通过公开私人视频、发送消息和代表用户上传视频。”
据称,该漏洞存在于所有版本的TikTokAndroid客户端中,总共安装了超过15亿次。
这个问题围绕着应用程序对JavaScript接口的实现,这些接口在TikTokforAndroid中被广泛使用。该报告深入研究了技术细节,但从本质上讲,通过利用应用程序对JavaScript接口的处理,结合Android路由URL的方式,微软能够证明帐户被盗。
幸运的是,研究人员没有发现任何证据表明该漏洞已在野外被利用-该问题在2月份被披露后不久就得到了修补。根据微软的说法,TikTok安全团队的响应速度和效率值得称赞。
Microsoft365Defender研究团队的DimitriosValsamaras说:“这个案例展示了通过专家跨行业协作来协调研究和威胁情报共享的能力对于有效缓解问题是必要的。”
“随着跨平台威胁的数量和复杂程度不断增长,无论使用何种平台或设备,都需要漏洞披露、协调响应和其他形式的威胁情报共享来帮助保护用户的计算体验。”
尽管该补丁已经进入了大多数TikTok用户,但相关用户可以通过将应用程序更新到最新版本来保证他们受到保护。