微软发现TikTok Android应用存在高严重性漏洞

关键要点

• 微软发现TikTok Android应用存在被称为CVE-2022-28799的高危漏洞。
• 此漏洞可能导致快速且隐秘的账户接管，通过特制链接进行操作。
• 攻击者可以访问用户的TikTok资料和敏感信息，包括公开私人视频、发送消息及以用户身份上传视频。
• 当前没有证据表明此漏洞已被积极利用，该漏洞已在TikTok版本23.7.3中修复。

微软最近发现TikTokAndroid应用存在一个高严重性漏洞，编号为CVE-2022-28799，这可能会导致用户账户被快速且隐秘地接管。根据的报道，这种特殊链接可能导致超过70个JavaScript方法的暴露，攻击者可以通过TikTok的WebView漏洞进行利用。微软365Defender研究团队的DimitriosValsamaras表示：“攻击者可以访问和修改用户的TikTok资料以及敏感信息，比如公开私人视频、发送消息，甚至以用户身份上传视频。”

HackerOne也对这一漏洞提供了更多的洞见，他们表示：“在TikTokAndroid应用中发现了一种WebView劫持漏洞，该漏洞是通过未验证的深链接和未清洗的参数引发的。这可能导致通过JavaScript接口进行账户接管。”不过，目前并没有证据表明该漏洞已被积极利用，而该漏洞已在TikTok版本23.7.3更新中得到修复。

相关信息 | 详情
—|—
漏洞编号 | CVE-2022-28799
漏洞类型 | WebView劫持漏洞
影响范围 | TikTok Android应用
修复版本 | TikTok版本23.7.3
实际利用情况 | 目前没有证据表明该漏洞已被利用

相关链接：

• *

通过此次漏洞的发现，用户应定期更新其应用程序，同时保持警觉，以防止潜在的网络攻击。