欧美一级毛片免费播放全集的,欧美成人www在线观看网页,高清在线亚洲精品国产二区

當(dāng)前速遞！Android版TikTok曝出高危漏洞或被黑客一鍵劫持賬戶

2022-09-01 15:37:05 來(lái)源：cnBeta.COM

在周三的一篇博客文章中，Microsoft 365 Defender 研究團(tuán)隊(duì)曝光了 Android 版 TikTok 應(yīng)用中存在的一個(gè)高危漏洞，或致數(shù)億用戶被黑客“一鍵劫持賬戶”。一旦 TikTok 用戶點(diǎn)擊了攻擊者特制的一個(gè)鏈接，黑客就可能在用戶不知情的狀況下劫持 Android 上的任意 TikTok 用戶賬戶，然后訪問(wèn)各項(xiàng)主要功能 —— 包括上傳發(fā)布視頻、向他人發(fā)送消息、以及查看私密視頻等。

訪問(wèn)：

阿里云1核2G云服務(wù)器低至1折最高可得500元滿減優(yōu)惠券

(資料圖片)

圖 8 - 利用鏈接觸發(fā)內(nèi)部瀏覽器并加載 Tiktok.com（來(lái)自：Microsoft Security）

雖然尚未有證據(jù)稱其已被不良行為者所利用，但更糟糕的是，這個(gè)高危漏洞還波及 TikTok Android App 的全球衍生版本 —— 目前 Google Play 應(yīng)用商店的下載總量超過(guò)了 15 億次。

圖 9 - 內(nèi)部瀏覽器的過(guò)濾攔截頁(yè)面示例

慶幸的是，在問(wèn)題發(fā)現(xiàn)后不久，Microsoft Security 團(tuán)隊(duì)就及時(shí)地向平臺(tái)方發(fā)去了安全通報(bào)，此外 TikTok 發(fā)言人 Maureen Shanahan 對(duì)微軟研究團(tuán)隊(duì)的專業(yè)與高效大加贊賞。

圖 1 - 將 JavaScript 接口添加到 WebView 對(duì)象

Microsoft Defender for Endpoint 安全研究合作伙伴主管 Tanmay Ganacharya 向 TheVerge 證實(shí)，TikTok 方面很快做出了響應(yīng)、且雙方協(xié)力堵上了這個(gè)漏洞。

圖 2 - 渲染可通過(guò) JavaScript 代碼調(diào)用的方法

更確切地說(shuō)，該漏洞主要影響了 Android 應(yīng)用程序的“深度鏈接”（DeepLinking）功能。其原本旨在告訴操作系統(tǒng)，讓某些 App 以特定方式去處理鏈接。

圖 3 - 可通過(guò) JavaScript 代碼調(diào)用的方法示例

舉個(gè)例子，在單擊網(wǎng)頁(yè) HTML 代碼中嵌入的“關(guān)注此賬戶”按鈕后，系統(tǒng)能夠按需打開(kāi) Twitter App 以關(guān)注特定的賬號(hào)。

圖 4 - Java 和 Web 組件之間使用 JavaScript 接口進(jìn)行的交互

這套鏈接處理流程還對(duì)接了一個(gè)驗(yàn)證步驟，以對(duì)應(yīng)用程序加載特定鏈接時(shí)執(zhí)行的操作加以限制 —— 然而微軟安全研究人員找到了一個(gè)破綻，并最終實(shí)現(xiàn)了武器化運(yùn)用。

圖 5 - 在列表中添加一個(gè) intent filter 以利用 Deep Linking

其中一項(xiàng)功能允許攻擊者檢索特定用戶賬戶綁定的身份驗(yàn)證令牌，從而向黑客授予該賬戶的訪問(wèn)權(quán)限、而無(wú)需輸入密碼。

圖 6 - 歧義對(duì)話框

在此基礎(chǔ)上，Microsoft 365 Defender 安全研究團(tuán)隊(duì)打造了一套概念驗(yàn)證方法 —— 在 TikTok 用戶不慎點(diǎn)擊了某個(gè)惡意鏈接后，其個(gè)人簡(jiǎn)介就被篡改成了“安全漏洞”（SECURITY BREACH）。

圖 12 - 被盜賬戶示例

通過(guò)這一高危漏洞，微軟重申了在技術(shù)平臺(tái)與供應(yīng)商之間展開(kāi)充分協(xié)作和協(xié)調(diào)的重要性。

圖 7 - 使用 Medusa 識(shí)別 Deep Linking 及其目標(biāo)活動(dòng)

Dimitrios Valsamaras 寫(xiě)道：隨著跨平臺(tái)威脅的數(shù)量和復(fù)雜程度不斷增長(zhǎng)，行業(yè)愈加需要通過(guò)漏洞披露、協(xié)調(diào)響應(yīng)、以及其它形式的威脅情報(bào)共享，來(lái)更好地保護(hù)用戶的相關(guān)體驗(yàn)。

圖 10 - 攻擊檢索到的請(qǐng)求標(biāo)頭

展望未來(lái)，無(wú)論使用何種設(shè)備或平臺(tái)，微軟都將繼續(xù)與更大的安全社區(qū)合作、分享相關(guān)威脅研究情報(bào)，從而為所有人都提供更好的安全防護(hù)。

圖 11 - 包含標(biāo)頭的服務(wù)器應(yīng)答

關(guān)鍵詞： Android版TikTok曝出高危漏洞或被黑客一鍵劫持賬戶 cnBeta