TikTok已经修复了其Android应用中的四个安全漏洞,这些漏洞可能会导致用户账号被劫持。应用安全启动公司Oversecure发现了这些漏洞,这些漏洞可能会让同一设备上的恶意应用从TikTok应用内部窃取敏感文件如会话令牌。会话令牌是一种可让用户登录而无需再输入密码的小文件,如果被盗,这些令牌可以让攻击者在不需要密码的情况下访问用户的账户。
恶意应用将利用这个漏洞向TikTok应用注入一个恶意文件。一旦用户打开应用,恶意文件就会被触发,从而让恶意应用访问并在后台无声地向攻击者的服务器发送偷来的会话令牌。
Oversecure创始人Sergey Toshin告诉TechCrunch,这款恶意应用还可以劫持TikTok的应用权限、允许它访问Android设备的摄像头、麦克风和设备上的私人数据如照片和视频。该公司在其网站上公布了有关漏洞的技术细节。
TikTok表示,在Oversecure报告了这些漏洞后,他们已于今年早些时候修复了它们。
【安全圈】令人担忧:儿童手表存在漏洞,黑客可随意窃听
【安全圈】SK 海力士、LG 电子被黑 50GB 机密文件被加密勒索
【安全圈】毕马威误删,14.5万个账号清零,微软确认数据不可恢复
【安全圈】微软:多个国家背景的黑客组织干扰今年美国大选
【安全圈】价值10000美元的谷歌地图XSS漏洞
【安全圈】蓝牙 BLURtooth 漏洞让攻击者覆盖蓝牙认证密钥
【安全圈】中国称驻英大使刘晓明的推特帐户被黑
【安全圈】爱尔兰要求 Facebook 停止向美国传送欧洲用户数据
【安全圈】黑客导致阿根廷边境口岸一度瘫痪,要求400万美元BTC赎金
【安全圈】里程盗刷、买卖“黑产”猖獗,吴磊、江映蓉、李晨等明星中招!
【安全圈】滥用Windows 10主题可窃取Windows密码
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论