Microsoft 發表報告指,發現了 Android 版 TikTok 的嚴重漏洞,允許黑客利用附加 JavaScript 介面一鍵接管用戶的 TikTok 帳戶,隨意發布影片及傳送訊息。
Microsoft 在周三(31 日)發表報告,指旗下 Microsoft 365 Defender 研究團隊安全研究人員在 Android 版 TikTok 應用程式上發現名為 CVE-2022-28799 的嚴重漏洞,CVSS 評分達 8.8,屬重大危險等級的漏洞,被美國國家標準暨技術研究院(NIST)描述為允許黑客利用附加 JavaScript 介面一鍵接管。因此用家一不慎按進有毒的連結,便會被黑客入侵用戶的 TikTok 帳戶,能以用戶名義隨意發布影片及傳送訊息。
Microsoft 表示,該漏洞令連結可繞過應用程式的深度連結驗證(Deeplink Verification),黑客便能強制應用程式加載任何的 URL 至WebView,再允許該 URL 連接 WebView 的附加 JavaScript bridges,透過觸發被黑服務器而繞過用戶登錄安全驗證,再取得 Cookie 記錄及獲取用戶的 TikTok 身分驗證。
現時 Android 版 TikTok 下載量超過 15 億,TikTok 表示已修復有關問題並推出更新版,並建議所有使用 23.7.3 版本前的用戶將程式更新,以確保用戶安全。
365 Defender 研究人員 Dimitrios Valsamaras 建議用戶應避免點擊及下載來源不明的連結和應用程式,並確保所有裝置及應用程式更新至最新版本,當發現任何可疑內容時,應立刻向開發者報告,以抵禦安全漏洞的攻擊。
資料來源:Forbes
—
unwire.hk Mewe 專頁 : https://mewe.com/p/unwirehk
相關文章:
【教學】iPhone 都用到 Gemini 教你如何在 Android 和 iOS 裝置上使用 【評測】Microsoft Surface Pro Gen 11 開箱評測 機身夠輕薄 + 可筆電平板兩用 + 寶藍色機身極吸引 + 定價依然偏貴 【教學】ChatGPT 連結 Google 試算表 可生成各式圖表 + 計算數據
分享到 :
最新影片
![](https://cdn.unwire.hk/wp-content/uploads/2024/07/cmf_phone1_web1-694x390.jpg)