微软报告TikTok安全漏洞 官方紧急修复未影响用户

近日，微软在网络安全社区详细报告了安卓版TikTok应用程序存在的严重安全问题。该漏洞可让攻击者轻松破解账户。TikTok也被微软通知了这个问题，目前已修复。

TikTok

微软表示，这个漏洞会影响23.7.3及更低版本的TikTok，需要几个问题同时出现才能被利用。这意味着可能并没有人真正受到这一漏洞的影响。实际上，在安卓系统上有两个版本的TikTok，一个面向东亚和东南亚，另一个面向世界其他地区。微软进行了漏洞评估，发现两者都受到了影响，这意味着该漏洞如果真的被有心人利用，将影响15亿个安装用户。

有了这个漏洞，黑客就可以在用户不知道的情况下劫持一个基于Android的TikTok账户。劫持成功后，攻击者可以访问被泄露的TikTok资料，并看到私人视频、发送消息或上传视频。

据微软称，TikTok的安卓应用程序允许该应用程序的深度链接验证被绕过。攻击者可以强迫应用程序加载一个URL到应用程序的WebView。这将允许该URL中的页面访问WebView的JavaScript桥，给黑客提供更多的功能和70种方法来快速访问用户的信息。攻击者还可以通过向受控服务器触发请求等方式来检索用户的身份验证令牌。