微軟在報告導致“一鍵賬戶劫持”的漏洞後拯救了TikTok用戶

當全世界都在忙著享受 TikTok 應用程序的熱潮時，這個著名的視頻共享平台的用戶卻一無所知，他們幾乎成為了一個漏洞的受害者，這個漏洞可能讓不良行為者在幾個月前破壞他們的賬戶。 值得慶幸的是，它在被壞演員注意到之前就被阻止了 Microsoft微軟 向 TikTok 報告，後者立即解決。

微軟發現了標記為“CVE-2022-28799”的漏洞，並於去年 8.3 月通過微軟安全漏洞研究 (MSVR) 的協調漏洞披露 (CVD) 向 TikTok 報告了該漏洞。 據這家科技巨頭稱，該問題的嚴重程度為 XNUMX 分。

儘管沒有發現任何證據表明 CVE-2022-28799 在野外被利用，但該漏洞使數十億 TikTok 用戶帳戶處於危險之中。 具體來說，問題涉及該應用程序的 Android 用戶，該應用程序具有不同的變體，在 Google Play 商店中的總下載量超過 1.5 億次。 如果成功，它可能允許不良行為者進入不同的帳戶、發布視頻和查看私人視頻、閱讀用戶的消息、檢索帳戶數據，甚至修改設置。

當用戶單擊“特製的惡意鏈接”時，攻擊就會開始。 據微軟稱，當發現 CVE-2022-28799 允許繞過 TikTok 應用程序的深度鏈接驗證時，這成為可能。 “攻擊者可以強制應用程序將任意 URL 加載到應用程序的 WebView，然後允許 URL 訪問 WebView 附加的 JavaScript 橋並將功能授予攻擊者，”Microsoft 365 Defender 研究團隊在其 博客文章.

為此，微軟鼓勵用戶通過遵守一些安全準則來防止類似情況發生，例如忽略來自不受信任來源的鏈接、定期更新設備和應用程序、避免從不受信任來源安裝應用程序以及報告。 此外，該公司讚揚了 TikTok 的快速行動，同時強調了協作的重要性。

“這個案例展示了通過專家、跨行業協作來協調研究和威脅情報共享的能力對於有效緩解問題是必要的，”微軟表示。 “隨著跨平台威脅的數量和復雜程度不斷增長，無論使用何種平台或設備，都需要漏洞披露、協調響應和其他形式的威脅情報共享來幫助保護用戶的計算體驗。 我們將繼續與更大的安全社區合作，分享有關威脅的研究和情報，努力為所有人提供更好的保護。”

儘管如此，由漏洞引起的問題並不是 TikTok 用戶面臨的唯一安全問題。 由於有報導稱字節跳動和 TikTok 被中國政府用於自己的議程，它們的聲譽受到許多人的質疑。 除了一個 report 稱 TikTok 員工多次從中國訪問美國用戶數據，在發現一些 TikTok 員工的 LinkedIn 個人資料 表明他們同時為中國官方媒體工作。