抖音和TikTok都被微软发现存在高危漏洞 攻击者可以直接接管用户账户
据微软安全团队发布的博客,该公司在字节跳动旗下流行短视频应用TikTok发现高危漏洞影响用户账户安全。
攻击者可以使用特制链接诱导用户点击,只要用户点击链接就可能会被劫持账户,攻击者可以发布任意内容。
微软检查后发现无论是抖音还是TikTok都存在这个漏洞,主要影响Android版,目前字节跳动已经修复漏洞。
微软在二月发现漏洞后已经通报给字节跳动,随后字节跳动发布新版本修复漏洞,直到现在微软才披露漏洞。
目前没有证据表明上述漏洞被黑客利用,微软到现在才披露漏洞就是等着大多数用户都升级后不会产生风险。
根据微软安全团队的研究 , 字节跳动在处理URL Scheme存在着问题,允许攻击者加载任意URL到WebView。
在某些情况下可以在加载特定内容时导致数据泄露进而导致任意代码执行,这样可以用来直接接管用户账户。
接管用户账户后攻击者可以公开用户设置的私有视频、发送消息或者是冒充用户发布广告或者诈骗信息等等。
漏洞通报后字节跳动确认该问题的存在,主要影响TikTok 23.7.3 及以下版本,这个问题不影响iOS版TikTok。
所以长期没有更新的用户最好去检查下版本安装最新版,现在漏洞细节披露后肯定会有攻击者尝试利用漏洞。