TikTok 应用程序的发行商、中国公司字节跳动对微软怀有感激之情。雷德蒙德公司的安全研究人员确实在其应用程序的 Android 版本中发现了一个严重缺陷 (CVE-2022-28799)。由于这个漏洞,黑客可以控制任何帐户,因为他们知道 TikTok 拥有大约 15 亿用户!
实际上有什么风险?要利用此缺陷,您所要做的就是发送一个受困链接。如果点击,黑客可能会访问和修改个人数据、阅读收到和发送的消息以及下载视频。微软研究人员在博客文章中发布的概念验证中演示了这种攻击。一旦受害者点击被捕获的链接,攻击者就可以检索身份验证令牌并通过插入“!!安全漏洞!!”字样来修改用户的简介。 ”。
简而言之,对于 TikTok 这样的社交网络来说,这将是一场真正的灾难。微软于 2022 年 2 月向字节跳动发出警报。一个月后,该漏洞通过更新被关闭。迄今为止尚未观察到恶意利用,这是个好消息。 TikTok 用户因此侥幸逃脱。
这个缺陷的根源在于管理的随意性深层链接。这是一种引用技术,允许在 Android 应用程序中指向内部软件资源(功能、模块)或外部(手机上的另一个移动应用程序、网站等)。微软研究人员发现,某些深层链接允许您强制应用程序加载任何 URL。
谨防 JavaScript 桥接
这本身就够糟糕的了,但这还不是全部。 TikTok 应用程序在“JavaScript 桥”方面也存在脆弱性。它是一种内部编程接口,允许从WebView浏览器访问应用程序的某些Java软件模块的高级功能。然而,事实证明,通过向 URL 添加某些参数,可以立即访问特定模块的所有功能,而没有任何限制。结果:攻击者可以通过特殊的 URL 深入研究 TikTok 应用程序的机制并控制用户帐户。
为了避免将来出现此类问题,Microsoft 提出了几项建议。它建议用户永远不要点击不可信来源的链接。此外,该公司建议开发人员谨慎使用 Java Bridge,并在适当的情况下应用一定数量的最佳实践。
来源 : 微软
