机器人天空TikTok已修复了其Android应用中的四个安全漏洞,这些漏洞可能导致用户帐户被劫持。
应用安全启动公司Oversecured发现的漏洞可能允许同一设备上的恶意应用从TikTok应用内部窃取敏感文件(例如会话令牌)。会话令牌是小的文件,可让用户保持登录状态而不必重新输入密码。但是,如果这些令牌被盗,它们可以使攻击者无需用户密码即可访问用户的帐户。
恶意应用程序必须利用这些漏洞将恶意文件注入易受攻击的TikTok应用程序。用户打开应用程序后,便会触发恶意文件,从而允许恶意应用程序访问并在后台以静默方式将窃取的会话令牌发送到攻击者的服务器。
Oversecured的创始人Sergey Toshin告诉TechCrunch,该恶意应用还可能劫持TikTok的应用权限,从而允许其访问Android设备上的摄像头,麦克风和设备上的私人数据(例如照片和视频)。
过度安全的错误技术信息已在其网站上发布。
TikTok表示,今年早些时候在Oversecured报告了漏洞之后,它修复了这些错误。
TikTok发言人希拉里·麦奎德(Hilary McQuaide)表示:“在建立业界最安全,最安全的平台的过程中,我们不断与第三方合作,以发现并修复错误。”“虽然仅当用户还将恶意应用程序下载到其Android设备上时,所涉及的错误才会带来风险,但我们已修复了这些问题。我们感谢研究人员向我们报告此问题,以便我们可以解决此问题,并鼓励所有用户下载该应用程序的最新版本。”