>> サイバーニュース > CVE-2022-28799: Android 向け TikTok アプリの重大なワンクリック脆弱性
サイバーニュース

CVE-2022-28799: Android 向け TikTok アプリの重大なワンクリック脆弱性

CVE-2022-28799: Android 向け TikTok アプリの重大なワンクリック脆弱性
TikTok Android アプリの重大度の高い脆弱性が修正されました. この脆弱性により、攻撃者はユーザーをだまして悪意のあるリンクをクリックさせることで、ユーザー アカウントを乗っ取ることができる可能性があります。. マイクロソフトが発見, 脆弱性はすでに修正されています.

関連記事: フィッシングキャンペーンの標的となった有名なTikTokインフルエンサー

TikTok の脆弱性の悪用に成功するには、いくつかの脆弱性を一緒に変更する必要がありました。, マイクロソフトは言った. 幸運, これまでのところ、悪用が行われている証拠は発見されていません. 「攻撃者はこの脆弱性を利用して、標的のユーザーが特別に細工されたリンクをクリックしただけで、ユーザーの気付かないうちにアカウントを乗っ取った可能性があります。,」と同社は述べた.




結果として, 攻撃者は TikTok プロファイルを変更し、ユーザーの機密情報にアクセスできたはずです. この欠陥により、非公開の動画が公開される可能性がありました, メッセージの送信, 被害を受けたアカウントに代わって動画をアップロードする.

CVE-2022-28799: 技術概要

技術用語で, 脆弱性, 現在は CVE-2022-28799 として知られています, アプリのディープリンク検証を回避できるようにしました. 結果として, ハッカーは、アプリの WebView に任意の URL をロードする可能性があります, URL が WebView の攻撃された JavaScript ブリッジにアクセスできるようにする.

公式のCVEの説明によると, 前にTikTokアプリケーション 23.7.3 Android の場合、アカウントの乗っ取りが許可されます. 巧妙に細工された URL または検証されていないディープリンクにより、com.zhiliaoapp.musically WebView が任意の Web サイトをロードする可能性があります. このアクションにより、攻撃者はさらに、添付された JavaScript インターフェースを利用して、ワンクリック テイクオーバー攻撃を実行できるようになる可能性があります。.

「私たちは以前、JavaScript ブリッジが広範囲に影響を与える可能性について調査しました。. 不明なリンクをクリックする際の注意の重要性を強調する, この調査では、デジタル エコシステム全体の防御を強化するために、セキュリティ コミュニティ内でのコラボレーションがどのように必要であるかも示されています。,」 マイクロソフトは追加しました.

TikTokの脆弱性評価実施後, 研究者は、脆弱性が Android 用 TikTok の両方のフレーバーに影響を与えると判断しました, 以上で 1.5 Google Play ストア経由で合わせて 10 億回のインストール. 開示後, TikTok はすぐに CVE-2022-28799 の修正をリリースしました. TikTok ユーザーは、TikTok アプリの最新バージョンを使用していることを確認する必要があります.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します