威胁行为者利用视频分享平台TikTok中的一个零日漏洞来劫持高知名度的账户。据《福布斯》报道,该漏洞存在于平台实施的直接消息功能中。恶意软件通过应用内的直接消息传播,并且只需要用户打开一条消息。受影响的账户未发布内容,影响程度尚不清楚。
TikTok发言人Alex Haurek表示,他们的安全团队已经意识到了这一漏洞,并采取了措施阻止攻击并预防未来事件。该公司还正在与受影响的账户所有者合作,以恢复访问权限。
被攻击的账户列表包括CNN、帕里斯·希尔顿和索尼,然而,目前还不清楚有多少账户受到了影响。该公司没有分享关于攻击者利用的漏洞的技术细节。“我们的安全团队意识到了潜在的针对多个品牌和名人账户的攻击。我们已经采取措施阻止这次攻击,并防止将来再次发生。我们正在直接与受影响的账户所有者合作,以恢复访问权限,如果需要的话。”TikTok发言人Alex Haurek告诉《福布斯》。
Haurek指出,这些攻击只影响了极少数的账户。Semafor首先报告了CNN的TikTok账户被黑的情况,迫使该广播公司关闭了其账户数天。TikTok发言人还补充说,他们的安全团队最近收到了针对CNN账户的恶意行为者的警报。
TikTok强调,他们致力于维护平台的完整性,并将继续监控是否有进一步的欺诈活动。2022年8月,微软研究人员发现了TikTok安卓应用中的一个高严重性漏洞(CVE-2022-28799),该漏洞可以允许攻击者通过单击劫持用户账户。专家表示,此漏洞需要与其他漏洞进行链接才能劫持账户。微软在2022年2月向TikTok报告了这个问题,该公司迅速解决了这个问题。微软确认目前并没有发现野外攻击利用此漏洞。
原文始发于微信公众号(黑猫安全):CNN、帕里斯·希尔顿和索尼的TikTok账户通过私信被黑
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论