粉絲團
(圖/路透)
在Google Play 商店平台,已累計下載量逾15億次的 TikTok 短影音Android版,被微軟旗下的 Microsoft 365 Defender 安全研究團隊揪出藏有一個重大風險等級的安全漏洞,代號被命名為 CVE-2022-28799,CVSS風險評分系統把該漏洞列為 8.8分等級(最嚴重為10分),受影響範圍為TikTok「23.7.3」版本之前。
該漏洞允許駭客攻擊者利用附加的JavaScript 程式碼介面,不但可趁機繞過用戶身份的安全認證,而且僅需一鍵就能順利入侵TikTok 應用程式,並成功取得用戶帳號的管理權限,進而恣意公開私人影片、傳送訊息,甚至假借用戶名義發佈影片。
針對 TikTok 短影音Android版藏有「CVE-2022-28799」的重大安全漏洞,據微軟於官方部落格發佈文章指出,早在今年二月發現時就已在第一時間向 TikTok 通報。在不到一個月的時間內,TikTok 也已快速地釋出Android版本的修補更新。如今,事隔超過半年,微軟才在近日公開發表有關該漏洞的詳細說明,並提供類似漏洞問題的防範建議。所幸,在釋出修補版本之前,尚未發現該漏洞有已遭利用開採的跡象。
微軟表示,該漏洞經過研究人員的概念驗證,證實確實可允許駭客發動一鍵式攻擊,透過散佈惡意連結網址,趁機取得 TikTok 用戶帳號權限。為避免日後遇到類似漏洞的攻擊,導致個人帳號遭暗中入侵挾持,微軟給出三項防範建議,包括有:
一、來路不明的網址連結或應用程式,都不要輕易點擊,也不要輕易下載;
二、隨時確保使用裝置與應用程式的安全性更新,皆處於最新版本的狀態;
三、遇可疑的狀況時(如帳號設定出現異常),立即在第一時間向開發商回報。
你可能也想看
