【企业安全-TikTok曝零点击0day漏洞,CNN、索尼账户被黑】此文章归类为:企业安全。
本周,据外媒报道,正在全世界范围流行的视频分享平台TikTok中存在零日漏洞,攻击者能够以此接管目标账户。这一漏洞位于TikTok平台的DM(私信)功能之中,并且成功利用无需用户点击或与之互动。
Tiktok是抖音的国际版本,目前仅在美国就拥有约1.7亿用户,占其总人口数的一半。
知名媒体Semafor和Forbes最先报道了这一情况。据了解,攻击者通过利用TikTok消息组件中的漏洞,能够允许恶意代码在消息打开时立即执行(无需受害者点击任何链接或下载任何内容),从而通过私信传播恶意软件、接管名人账户。目前尚不清楚共有多少用户受到影响,已知受影响账户名单中有CNN、索尼等。
TikTok发言人Alex Haurek对此表示,他们的安全团队已经意识到这一漏洞,并且也已经采取措施阻止攻击并防止未来类似事件发生。TikTok强调本事件只影响到非常少量的用户,他们正在与受影响的账户所有者合作恢复访问权限。目前TikTok公司还没有提供关于漏洞性质、技术细节等更进一步信息。
在此之前的2022年8月,微软研究人员也曾发现TikTok安卓应用中的一个高危漏洞(CVE-2022-28799),该漏洞可能允许攻击者通过一次点击接管用户的账户。安全专家表示,该漏洞需要与其他漏洞链接才能达成接管账户的目的。在微软于2022年2月向TikTok报告后,该问题迅速得到了解决。当时微软确认并未发现有利用该漏洞的攻击活动。
编辑:左右里
资讯来源:cybernews
转载请注明出处和本文链接
更多【企业安全-TikTok曝零点击0day漏洞,CNN、索尼账户被黑】相关视频教程:www.yxfzedu.com