Android TikTok应用程序中的一个漏洞可能会让攻击者接管任何点击恶意链接的账户，可能会影响该平台的数亿用户。微软365 Defender研究团队的研究人员今天在一篇博客文章中披露了这一点击漏洞的细节。微软向TikTok披露了该漏洞，并已修补。

TikTok

该漏洞及其引发的攻击被称为“高严重性漏洞”，一旦用户点击一个精心制作的链接，该漏洞可能会被用来劫持Android上任何TikTok用户的账户，而他们并不知情。点击链接后，攻击者可以访问账户的所有主要功能，包括上传和发布视频、向其他用户发送消息以及查看存储在账户中的私人视频。

Windows

潜在的影响是巨大的，因为它影响了Android TikTok应用程序的所有全球变体，该应用程序在Google Play Store上的下载量总计超过15亿。然而，没有证据表明它被坏人利用。

Android

TikTok发言人莫林·沙纳汉（Maureen Shanahan）说：“通过与微软安全研究人员的合作，我们发现并迅速修复了一些旧版本的Android应用程序中的漏洞。”。“我们感谢微软的研究人员帮助我们确定潜在问题，以便我们能够解决这些问题。”

Google Play Store和App Store

微软证实TikTok对该报道做出了迅速回应。Microsoft Defender for Endpoint的安全研究合作伙伴主管Tanmay Ganacharya在接受《边缘》采访时表示：“我们向他们提供了有关漏洞的信息，并合作解决了这个问题。”。“TikTok反应迅速，我们赞扬安全团队的高效和专业解决方案。”

微软

根据博客文章中发布的详细信息，该漏洞影响了Android应用程序的深度链接功能。这种深度链接处理告诉操作系统让某些应用程序以特定方式处理链接，例如在点击网页中嵌入的HTML“关注此帐户”按钮后打开Twitter应用程序来关注用户。

Twitter

该链接处理还包括一个验证过程，该过程应限制应用程序加载给定链接时执行的操作。但研究人员找到了一种绕过验证过程的方法，并在应用程序中执行了一些潜在的可武器化功能。

其中一个功能允许他们检索绑定到某个用户账户的身份验证令牌，有效地授予账户访问权限，而无需输入密码。在一次概念验证攻击中，研究人员精心制作了一个恶意链接，点击后，将TikTok账户的生物信息更改为“安全漏洞”。

安全漏洞

幸运的是，该漏洞被检测到，微软借此机会强调了技术平台和供应商之间协作和协调的重要性。

微软的Dimitrios Valsamaras在博客中写道：“随着跨平台威胁的数量和复杂程度不断增加，需要漏洞披露、协调应对和其他形式的威胁情报共享，以帮助保护用户的计算体验，无论使用的平台或设备如何。”。“我们将继续与更大的安全社区合作，分享有关威胁的研究和情报，努力为所有人建立更好的保护。”

TikTok与字节跳动

尽管目前还不知道TikTok应用程序遭受过任何重大黑客攻击，但一些批评者出于其他原因将其称为安全风险。

最近，人们对TikTok母公司字节跳动（ByteDance）的中国工程师访问美国用户数据的程度表示担忧。7月，参议院情报委员会领导人呼吁联邦贸易委员会主席利娜·汗（Lina Khan）调查TikTok，此前有报道质疑美国用户的数据与该公司中国分公司隔离的说法。更多科技资讯尽在科技译站！