微软本周披露了一个同时波及国际版TikTok与东南亚版本抖音的安全漏洞,该编号为CVE-2022-28799的安全漏洞仅影响Andoid平台上的移动程序,将允许黑客挟持用户的账号。
根据微软的说明,CVE-2022-28799可用来绕过Android版TikTok与抖音上的深度连接验证机制。黑客得以强迫程序加载一个任意的URL至WebView,让该URL访问WebView附加的JavaScript Bridge,进而赋予黑客访问功能。
因此,用户只要点击一个特定的恶意连接,黑客就能挟持用户的账号,访问或篡改用户的个人文件与机密资讯,例如公布私人视频、擅自发送消息或上传视频等。
微软提醒,从程序设计的角度来看,以JavaScript作为接口将带来严重风险,一个被破解的JavaScript接口可能会允许黑客利用程序的ID与权限来执行程序,因此建议开发者社群衡量相关风险,同时采取额外的预防措施来保护WebView,包括以白名单来过滤加载WebView的域名,以及使用默认的浏览器来打开非白名单上的网址等。
不管是国际版的TikTok或是东南亚版的抖音都受到该漏洞的影响,估计波及15亿的Android用户。微软是在今年2月发现并提报了该漏洞,TikTok则在收到漏洞细节的一个月内就修补了,目前尚未传出遭到开采的报告。