近日,黑客利用TikTok社交媒体直接消息功能中的零日漏洞,成功劫持了包括索尼、希尔顿、CNN等知名公司和人物的账户。TikTok发言人已证实此事件,并表示被入侵的账户数量非常少,同时在漏洞被修复前不会分享任何细节。媒体报道指出,攻击者通过恶意信息入侵账户,用户一旦打开这类信息即有可能中招。TikTok表示正在采取措施减轻影响,并防止类似事件再次发生。此前在2022年8月,TikTok Android应用程序也曾被披露存在高危漏洞。
黑客利用TikTok零日漏洞劫持知名账户
社交媒体平台TikTok遭遇零日漏洞攻击,导致多家知名企业和名人的账户被黑客劫持。受影响的包括索尼、希尔顿酒店集团以及美国有线电视新闻网(CNN)等。TikTok方面已经确认了此次安全事件,并指出受影响的账户数量有限。目前,漏洞已被修复,但具体细节在修复前未予公开。
据Semaphor、Forbes等媒体报道,攻击者通过直接消息(DMs)功能发送恶意信息,一旦目标用户打开这些信息,即便不下载或点击任何链接,也可能遭受攻击。TikTok警告用户不要打开来源不明的信息,以避免受到此类攻击。
TikTok在一份声明中表示,安全团队已经发现并阻止了这次针对一些品牌和名人账户的攻击,并采取措施防止未来类似事件的发生。TikTok将与受影响账户的所有者合作,必要时帮助他们恢复账户访问权限。
这并非TikTok首次遭遇安全漏洞。2022年8月,微软披露了TikTok Android应用中的一个高危漏洞,攻击者可以通过特制链接在用户不知情的情况下控制账户。该漏洞允许攻击者访问和修改用户的个人资料及敏感信息,甚至代表用户发送消息和上传视频。
该漏洞在TikTok的23.7.3版本中得到修复,影响了其Android应用程序的两个版本:面向东亚和东南亚用户的com.ss.android.ugc.trill,以及面向除印度以外其他国家用户的com.zhiliaoapp.musically。漏洞编号为CVE-2022-28799,CVSS评分为8.8,与应用程序处理深度链接的方式有关。