E X P
  • 编辑
  • 评论
  • 标题
  • 链接
  • 查错
  • 图文
  • 拼 命 加 载 中 ...

    有安全研究人员在TikTok安卓版内发现4个高危漏洞,可以被那些别有用心的第三方安卓应用利用。一旦成功,攻击者可以完全渗透目标用户的TikTok帐户。这些漏洞在TikTok 17.7.7版中已经被修复。

    Oversecured的研究人员表示,他们在TikTok内发现了任意代码执行以及盗窃的漏洞。这份报告刚好是在关于Oracle与字节跳动达成协议的报导之后出来的。这些任意代码执行漏洞一旦被利用起来,攻击者可以访问目标用户账号上的消息以及视频。除此之外他们也可以拥有用户的TikTok应用权限,意味着攻击者可以进一步访问目标用户手机或者平板上的图片、视频、下载内容、录音录像功能以及用户的通讯簿。


    任意代码执行漏洞

    研究人员表示:

    “如果用户在他们的安卓设备上安装了恶意应用的话,那么这些漏洞就有可能被黑客利用。目前所有的漏洞都已(在最新版本中)被修复,用户应升级至最新版来确保可以得到最好的体验。”


    任意代码盗窃漏洞

    研究人员是在对TikTok进行扫瞄时发现,其加载文件至应用时会产生几个漏洞。所有任意代码执行漏洞都是在AndriodManifes.xml文件内的不同安卓组件中发现的。有问题的安卓组件包括DetailActivity、NotificationBroadcastReceiver以及IndependentProcessDownloadService AIDL。它们缺乏某些安全检查,因此第三方应用或者任何人都可以将恶意文件加载到它们当中。

    攻击者只要成功诱使目标用户下载特定的应用,就可以让那些应用在TikTok的私人目录内创建一个库文件并且自动加载。因此大家应注意,不要下载或安装任何来历不明的应用。

    ×
    已有 7 条评论,共 60 人参与。
    登录快速注册 后发表评论
    • 游客  2020-09-17 09:25

      游客

      该评论年代久远,荒废失修,暂不可见。
      2020-09-15 11:26
    • 支持(9)  |   反对(1)  |   举报  |   回复
    • 该评论年代久远,荒废失修,暂不可见。

      支持(1)  |   反对(0)  |   举报  |   回复

      7#

    • 超能网友终极杀人王 2020-09-15 19:19    |  加入黑名单

      该评论年代久远,荒废失修,暂不可见。

      支持(0)  |   反对(0)  |   举报  |   回复

      6#

    • 游客  2020-09-15 16:52

      游客

      该评论年代久远,荒废失修,暂不可见。
      2020-09-15 15:45 已有1次举报
    • 支持(9)  |   反对(2)  |   举报  |   回复
    • 该评论年代久远,荒废失修,暂不可见。

      已有1次举报

      支持(5)  |   反对(2)  |   举报  |   回复

      5#

    • 游客  2020-09-15 15:45

      该评论年代久远,荒废失修,暂不可见。

      已有1次举报

      支持(9)  |   反对(2)  |   举报  |   回复

      4#

    • 游客  2020-09-15 12:58

      该评论年代久远,荒废失修,暂不可见。

      支持(5)  |   反对(2)  |   举报  |   回复

      3#

    • 游客  2020-09-15 11:26

      该评论年代久远,荒废失修,暂不可见。

      支持(9)  |   反对(1)  |   举报  |   回复

      2#

    • 游客  2020-09-15 10:20

      该评论年代久远,荒废失修,暂不可见。

      支持(14)  |   反对(1)  |   举报  |   回复

      1#

    登录 后发表评论,若无帐号可 快速注册 ,请留意 评论奖罚说明
    为你推荐