微软发现TikTok Android 漏洞，利用或可劫持账户

微软在 2 月份发现并报告了 TikTok Android 应用程序中的一个高度严重的漏洞，该漏洞允许攻击者通过诱骗目标点击特制的恶意链接，一键“快速而安静地”接管账户。该安全漏洞被跟踪为 CVE-2022-28799，目前尚未发现该漏洞被利用的证据。

Microsoft 365 Defender 研究团队的 Dimitrios Valsamaras 说：“如果目标用户只是单击特制链接，攻击者可能会利用该漏洞在用户不知情的情况下劫持帐户。此外，还可以访问和修改用户的 TikTok 个人资料和敏感信息。”

单击该链接会暴露 70 多种 JavaScript 方法，攻击者可能会借助旨在劫持 TikTok 应用程序的 WebView（易受攻击的应用程序用于显示 Web 内容的 Android 系统组件）的漏洞来滥用这些方法。在23.7.3 版本的TikTok ，该漏洞已被修复。[阅读原文]