TikTok已修復(fù)Android版應(yīng)用中可能會(huì)導(dǎo)致賬號(hào)被劫持的安全漏洞

據(jù)外媒TechCrunch報(bào)道，TikTok已經(jīng)修復(fù)了其Android應(yīng)用中的四個(gè)安全漏洞，這些漏洞可能會(huì)導(dǎo)致用戶賬號(hào)被劫持。應(yīng)用安全啟動(dòng)公司Oversecure發(fā)現(xiàn)了這些漏洞，這些漏洞可能會(huì)讓同一設(shè)備上的惡意應(yīng)用從TikTok應(yīng)用內(nèi)部竊取敏感文件如會(huì)話令牌。會(huì)話令牌是一種可讓用戶登錄而無(wú)需再輸入密碼的小文件，如果被盜，這些令牌可以讓攻擊者在不需要密碼的情況下訪問(wèn)用戶的賬戶。

惡意應(yīng)用將利用這個(gè)漏洞向TikTok應(yīng)用注入一個(gè)惡意文件。一旦用戶打開(kāi)應(yīng)用，惡意文件就會(huì)被觸發(fā)，從而讓惡意應(yīng)用訪問(wèn)并在后臺(tái)無(wú)聲地向攻擊者的服務(wù)器發(fā)送偷來(lái)的會(huì)話令牌。

Oversecure創(chuàng)始人Sergey Toshin告訴TechCrunch，這款惡意應(yīng)用還可以劫持TikTok的應(yīng)用權(quán)限、允許它訪問(wèn)Android設(shè)備的攝像頭、麥克風(fēng)和設(shè)備上的私人數(shù)據(jù)如照片和視頻。該公司在其網(wǎng)站上公布了有關(guān)漏洞的技術(shù)細(xì)節(jié)。

TikTok表示，在Oversecure報(bào)告了這些漏洞后，他們已于今年早些時(shí)候修復(fù)了它們。