微软披露TikTok安卓版高危漏洞：允许一键劫持帐户

据The Verge 8月31日消息，TikTok安卓版存在一个高危漏洞，攻击者可能借此实现一键式账户劫持，影响数亿用户。

微软365防御研究小组在一篇博文中披露了该漏洞的细节，影响范围为23.7.3之前的安卓版本。在微软向TikTok报告后，该漏洞已打上补丁。

博文披露，一旦TikTok用户点击一个特制链接，攻击者就可以在用户不知情的情况下劫持账户，访问和修改用户的个人资料、敏感信息、发送消息、上传视频。

该漏洞影响了安卓应用的deeplink（深度链接）功能。这种深度链接会指令操作系统如何处理链接，例如用户点击嵌入在网页中的 "关注此账户 "按钮后，会跳转到推特关注某用户。

这种链接处理还包括一个验证过程，但研究人员发现了一种方法，可以绕过这个验证过程，在应用程序中执行一些潜在的攻击功能。在一次概念验证攻击中，研究人员制作了一个恶意链接，点击后将TikTok账户的简介改为 “SECURITY BREACH”。

TikTok在CVE-2022-28799的Mitre数据库条目中表示，精心制作的URL（未经验证的deeplink）可以在新窗口加载任意网站。这可能允许攻击者利用附加的JavaScript接口进行一键接管。

该漏洞潜在影响巨大，安卓版TikTok在谷歌应用商店的总下载量超过了15亿次。好消息是，TikTok发言人莫琳