有安全研究人员在TikTok安卓版内发现4个高危漏洞,可以被那些别有用心的第三方安卓应用利用。一旦成功,攻击者可以完全渗透目标用户的TikTok帐户。这些漏洞在TikTok 17.7.7版中已经被修复。
Oversecured的研究人员表示,他们在TikTok内发现了任意代码执行以及盗窃的漏洞。这份报告刚好是在关于Oracle与字节跳动达成协议的报导之后出来的。这些任意代码执行漏洞一旦被利用起来,攻击者可以访问目标用户账号上的消息以及视频。除此之外他们也可以拥有用户的TikTok应用权限,意味着攻击者可以进一步访问目标用户手机或者平板上的图片、视频、下载内容、录音录像功能以及用户的通讯簿。
任意代码执行漏洞
研究人员表示:
“如果用户在他们的安卓设备上安装了恶意应用的话,那么这些漏洞就有可能被黑客利用。目前所有的漏洞都已(在最新版本中)被修复,用户应升级至最新版来确保可以得到最好的体验。”
任意代码盗窃漏洞
研究人员是在对TikTok进行扫瞄时发现,其加载文件至应用时会产生几个漏洞。所有任意代码执行漏洞都是在AndriodManifes.xml文件内的不同安卓组件中发现的。有问题的安卓组件包括DetailActivity、NotificationBroadcastReceiver以及IndependentProcessDownloadService AIDL。它们缺乏某些安全检查,因此第三方应用或者任何人都可以将恶意文件加载到它们当中。
攻击者只要成功诱使目标用户下载特定的应用,就可以让那些应用在TikTok的私人目录内创建一个库文件并且自动加载。因此大家应注意,不要下载或安装任何来历不明的应用。
游客 2020-09-17 09:25
支持(1) | 反对(0) | 举报 | 回复
7#
超能网友终极杀人王 2020-09-15 19:19 | 加入黑名单
该评论年代久远,荒废失修,暂不可见。
支持(0) | 反对(0) | 举报 | 回复
6#
游客 2020-09-15 16:52
支持(5) | 反对(2) | 举报 | 回复
5#
游客 2020-09-15 15:45
该评论年代久远,荒废失修,暂不可见。
已有1次举报支持(9) | 反对(2) | 举报 | 回复
4#
游客 2020-09-15 12:58
该评论年代久远,荒废失修,暂不可见。
支持(5) | 反对(2) | 举报 | 回复
3#
游客 2020-09-15 11:26
该评论年代久远,荒废失修,暂不可见。
支持(9) | 反对(1) | 举报 | 回复
2#
游客 2020-09-15 10:20
该评论年代久远,荒废失修,暂不可见。
支持(14) | 反对(1) | 举报 | 回复
1#