TikTok曝高危漏洞允许一键式帐户劫持，回应称已修复

据The 曝高Verge 8月31日消息，TikTok安卓版存在一个高危漏洞  ，危漏攻击者可能借此实现一键式账户劫持 ，洞允影响数亿用户。许键

微软365防御研究小组在一篇博文中披露了该漏洞的式帐细节，影响范围为23.7.3之前的户劫安卓版本 。在微软向TikTok报告后，应称已修该漏洞已打上补丁
。曝高

博文披露 ，源码下载危漏一旦TikTok用户点击一个特制链接  ，洞允攻击者就可以在用户不知情的许键情况下劫持账户 ，访问和修改用户的式帐个人资料 、敏感信息、户劫发送消息
、应称已修上传视频 。曝高

该漏洞影响了安卓应用的deeplink（深度链接）功能 。亿华云这种深度链接会指令操作系统如何处理链接 ，例如用户点击嵌入在网页中的 "关注此账户 "按钮后，会跳转到推特关注某用户 。

这种链接处理还包括一个验证过程，但研究人员发现了一种方法，可以绕过这个验证过程，在应用程序中执行一些潜在的攻击功能 。在一次概念验证攻击中，建站模板研究人员制作了一个恶意链接
，点击后将TikTok账户的简介改为 “SECURITY BREACH” 。

TikTok在CVE-2022-28799的Mitre数据库条目中表示 ，精心制作的URL（未经验证的deeplink）可以在新窗口加载任意网站
 。这可能允许攻击者利用附加的JavaScript接口进行一键接管 
。服务器租用

该漏洞潜在影响巨大 ，安卓版TikTok在谷歌应用商店的总下载量超过了15亿次 。好消息是，TikTok发言人莫琳·沙纳汉回应，目前并无证据表明该漏洞被恶意利用。微软证实 ，TikTok快速反应并修复了该漏洞
。

此前，香港云服务器据PCMAG报道，一位安全研究人员发现 ，TikTok iOS版本的应用内，打开任何外部链接都会触发监控 ，记录所有键盘输入和屏幕点击行为 。但TikTok发言人否认了这一说法，称“TikTok不会通过JavaScript代码收集屏幕点击或文本输入内容，这些代码仅用于调试、故障排除和性能监控。免费模板”