據The Verge消息，TikTok 安卓版存在一個高危漏洞，攻擊者可能借此實現一鍵式賬戶劫持，影響數億用戶。

　　微軟 365 防御研究小組在一篇博文中披露了該漏洞的細節，影響范圍為 23.7.3 之前的安卓版本。在微軟向 TikTok 報告后，該漏洞已打上補丁。

　　博文披露，一旦 TikTok 用戶點擊一個特制鏈接，攻擊者就可以在用戶不知情的情況下劫持賬戶，訪問和修改用戶的個人資料、敏感信息、發送消息、上傳視頻。

　　該漏洞影響了安卓應用的 deeplink(深度鏈接)功能。這種深度鏈接會指令操作系統如何處理鏈接，例如用戶點擊嵌入在網頁中的 "關注此賬戶 "按鈕后，會跳轉到推特關注某用戶。

　　這種鏈接處理還包括一個驗證過程，但研究人員發現了一種方法，可以繞過這個驗證過程，在應用程序中執行一些潛在的攻擊功能。在一次概念驗證攻擊中，研究人員制作了一個惡意鏈接，點擊后將 TikTok 賬戶的簡介改為 “SECURITY BREACH”。

　　TikTok 在 CVE-2022-28799 的 Mitre 數據庫條目中表示，精心制作的 URL(未經驗證的 deeplink)可以在新窗口加載任意網站。這可能允許攻擊者利用附加的 JavaScript 接口進行一鍵接管。

　　該漏洞潛在影響巨大，安卓版 TikTok 在谷歌應用商店的總下載量超過了 15 億次。好消息是，TikTok 發言人莫琳·沙納漢回應，目前并無證據表明該漏洞被惡意利用。微軟證實，TikTok 快速反應并修復了該漏洞。

　　此前，據 PCMAG 報道，一位安全研究人員發現，TikTok iOS 版本的應用內，打開任何外部鏈接都會觸發監控，記錄所有鍵盤輸入和屏幕點擊行為。但 TikTok 發言人否認了這一說法，稱“TikTok 不會通過 JavaScript 代碼收集屏幕點擊或文本輸入內容，這些代碼僅用于調試、故障排除和性能監控。”
　　（邯鄲小程序開發）