近日,攻击者利用社交媒体直接消息功能中的零日漏洞,劫持了多家知名公司和人物的TikTok 账户。
TikTok发言人证实,索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持,为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知,但是TikTok发言人补充说,「被入侵的账户数量非常少」。在零日漏洞被修复之前,或将不会分享有关被利用漏洞的任何细节。
据Semaphor、Forbes等媒体报道,攻击者通过 DMs 入侵这些账户借助了一个零日漏洞,目标用户只要打开恶意信息,哪怕没有下载或点击链接也会中招,因此千万不要打开不明来源的信息。
TikTok表示,公司正在采取措施减轻这一事件的影响,并防止此类事件再次发生。「我们的安全团队发现了一个针对一些品牌和名人账户的潜在漏洞利用,」TikTok发言人在一份声明中称,「我们已经采取措施阻止这次攻击,并防止它在未来再次发生。如果有需要,我们将与受影响的账户所有者直接合作,恢复访问权限。」
这不是近年来第一个影响 TikTok 用户的漏洞。2022年8月,微软披露了 TikTok Android应用程序中目前已修复的高危漏洞详细信息,如果目标用户只是单击特制的链接,攻击者可能会利用该漏洞在用户不知情的情况下劫持帐户。
成功利用该漏洞攻击者可以访问和修改用户的 TikTok 个人资料和敏感信息,从而导致未经授权的私人视频曝光。攻击者还可能滥用该漏洞代表用户发送消息和上传视频。
该漏洞已在TikTok 23.7.3 版本中解决,影响其 Android 应用程序 com.ss.android.ugc.trill(适用于东亚和东南亚用户)和 com.zhiliaoapp.musically(适用于除印度以外的其他国家的用户)。
该漏洞的漏洞号为 CVE-2022-28799(CVSS 评分 8.8),该漏洞与应用程序处理所谓的深度链接有关,这是一种特殊的超链接,允许应用程序在设备上安装的另一个应用程序中打开特定资源,而不是用于访问网站。
参考资料:
https://www.bleepingcomputer.com/news/security/tiktok-fixes-zero-day-bug-used-to-hijack-high-profile-accounts/