微软在 2 月份发现并报告了 TikTok Android 应用程序中的一个高度严重的漏洞,该漏洞允许攻击者通过诱骗目标点击特制的恶意链接,一键“快速而安静地”接管账户。该安全漏洞被跟踪为 CVE-2022-28799,目前尚未发现该漏洞被利用的证据。
Microsoft 365 Defender 研究团队的 Dimitrios Valsamaras 说:“如果目标用户只是单击特制链接,攻击者可能会利用该漏洞在用户不知情的情况下劫持帐户。此外,还可以访问和修改用户的 TikTok 个人资料和敏感信息。”
单击该链接会暴露 70 多种 JavaScript 方法,攻击者可能会借助旨在劫持 TikTok 应用程序的 WebView(易受攻击的应用程序用于显示 Web 内容的 Android 系统组件)的漏洞来滥用这些方法。在23.7.3 版本的TikTok ,该漏洞已被修复。[阅读原文]