微软在报告导致“一键账户劫持”的漏洞后拯救了TikTok用户

虽然全世界都在忙着享受 TikTok 应用程序的热潮，但这个著名的视频共享平台的用户却一无所知，他们几乎成为了一个漏洞的受害者，这个漏洞可能让不良行为者在几个月前破坏他们的账户。 值得庆幸的是，它在被坏演员注意到之前就被阻止了 微软 向 TikTok 报告，后者立即解决。

微软发现了这个标记为“CVE-2022-28799”的漏洞，并于去年 8.3 月通过微软安全漏洞研究 (MSVR) 的协调漏洞披露 (CVD) 将其报告给了 TikTok。 据这家科技巨头称，该问题的严重程度为 XNUMX 分。

尽管没有发现任何证据表明 CVE-2022-28799 在野外被利用，但该漏洞使数十亿 TikTok 用户帐户处于危险之中。 具体来说，问题涉及该应用程序的 Android 用户，该应用程序具有不同的变体，在 Google Play 商店中的总下载量超过 1.5 亿次。 如果成功，它可能允许不良行为者进入不同的帐户、发布视频和查看私人视频、阅读用户的消息、检索帐户数据，甚至修改设置。

当用户单击“特制的恶意链接”时，攻击就会开始。 据微软称，当发现 CVE-2022-28799 允许绕过 TikTok 应用程序的深度链接验证时，这成为可能。 “攻击者可以强制应用程序将任意 URL 加载到应用程序的 WebView，然后允许 URL 访问 WebView 附加的 JavaScript 桥并将功能授予攻击者，”Microsoft 365 Defender 研究团队在其 博客文章.

为此，微软鼓励用户通过遵守一些安全准则来防止类似情况发生，例如忽略来自不受信任来源的链接、定期更新设备和应用程序、避免从不受信任来源安装应用程序以及报告。 此外，该公司赞扬了 TikTok 的快速行动，同时强调了协作的重要性。

“这个案例展示了通过专家、跨行业协作来协调研究和威胁情报共享的能力对于有效缓解问题是必要的，”微软表示。 “随着跨平台威胁的数量和复杂程度不断增长，无论使用何种平台或设备，都需要漏洞披露、协调响应和其他形式的威胁情报共享来帮助保护用户的计算体验。 我们将继续与更大的安全社区合作，分享有关威胁的研究和情报，努力为所有人提供更好的保护。”

尽管如此，由漏洞引起的问题并不是 TikTok 用户面临的唯一安全问题。 由于有报道称字节跳动和 TikTok 被中国政府用于自己的议程，它们的声誉受到许多人的质疑。 除了一个 报告 称 TikTok 员工多次从中国访问美国用户数据，在发现一些 TikTok 员工的 LinkedIn 个人资料 表明他们同时为中国官方媒体工作。