TikTok已修復Android版應(yīng)用中可能會導致賬號被劫持的安全漏洞

據(jù)外媒TechCrunch報道，TikTok已經(jīng)修復了其Android應(yīng)用中的四個安全漏洞，這些漏洞可能會導致用戶賬號被劫持。應(yīng)用安全啟動公司Oversecure發(fā)現(xiàn)了這些漏洞，這些漏洞可能會讓同一設(shè)備上的惡意應(yīng)用從TikTok應(yīng)用內(nèi)部竊取敏感文件如會話令牌。會話令牌是一種可讓用戶登錄而無需再輸入密碼的小文件，如果被盜，這些令牌可以讓攻擊者在不需要密碼的情況下訪問用戶的賬戶。

惡意應(yīng)用將利用這個漏洞向TikTok應(yīng)用注入一個惡意文件。一旦用戶打開應(yīng)用，惡意文件就會被觸發(fā)，從而讓惡意應(yīng)用訪問并在后臺無聲地向攻擊者的服務(wù)器發(fā)送偷來的會話令牌。

Oversecure創(chuàng)始人Sergey Toshin告訴TechCrunch，這款惡意應(yīng)用還可以劫持TikTok的應(yīng)用權(quán)限、允許它訪問Android設(shè)備的攝像頭、麥克風和設(shè)備上的私人數(shù)據(jù)如照片和視頻。該公司在其網(wǎng)站上公布了有關(guān)漏洞的技術(shù)細節(jié)。

TikTok表示，在Oversecure報告了這些漏洞后，他們已于今年早些時候修復了它們。