微软在 TikTok for Android 中发现一个“高严重性漏洞”,攻击者能接管点击恶意链接的账户

微软在 TikTok for Android 中发现一个“高严重性漏洞”,攻击者能接管点击恶意链接的账户 安卓版 TikTok 应用的一个漏洞可能让攻击者接管任何点击恶意链接的账户,可能影响该平台的数亿用户。 今天,微软 365 防御研究小组的研究人员在一篇中披露了一键式攻击的细节。微软向 TikTok 披露了这一漏洞,此后已打上补丁。 该漏洞及其导致的攻击被称为 "高严重性漏洞",一旦任何 TikTok 用户点击一个特制的链接,就可以在他们不知情的情况下劫持他们的账户。点击该链接后,攻击者可以访问账户的所有主要功能,包括上传和发布视频的能力,向其他用户发送消息,以及查看存储在账户中的私人视频。 潜在的影响是巨大的,因为它影响了安卓 TikTok 应用的所有全球变体,该应用在谷歌应用商店的总下载量超过了 15 亿次。然而,没有证据表明它被坏人利用了,TikTok 发言人莫琳-沙纳汉说:"参与发现和披露的研究人员赞扬了 TikTok 的快速反应。"

相关推荐

封面图片

微软发现严重安全漏洞,影响数十亿下载量 Android 应用

微软发现严重安全漏洞,影响数十亿下载量 Android 应用 “Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据,并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施,以防止未经授权的访问。 然而,如果内容提供程序系统没有被正确实现,就会产生漏洞。微软研究人员发现,不当使用“自定义意图”(custom intents,Android 应用组件之间的通信系统)可能会暴露应用的敏感区域。例如,易受攻击的应用可能无法充分检查文件名或路径,从而为恶意应用提供了可乘之机,使其可以将伪装成合法文件的恶意代码混入其中。 攻击者利用“Dirty Stream”漏洞后,可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用,未经授权访问敏感用户数据,或拦截私密登录信息。 微软的研究表明,此漏洞并非个例,研究人员发现许多流行的 Android 应用都存在内容提供程序系统实现不当的问题。例如,拥有超过 10 亿安装量的小米文件管理器和拥有约 5 亿安装量的 WPS Office 都存在此漏洞。
封面图片

Windows系统现高危漏洞,攻击者可通过Wi-Fi远程入侵设备

Windows系统现高危漏洞,攻击者可通过Wi-Fi远程入侵设备 根据美国国家漏洞数据库公布的信息,该漏洞存在于 Windows 的 Wi-Fi 驱动程序中,属于远程代码执行漏洞。攻击者只需在物理上接近受害者设备,即可通过 Wi-Fi 接管设备,无需与目标计算机建立物理连接。微软已确认,除了物理接近要求外,攻击者不需要任何特殊访问权限或其他特殊条件即可成功利用该漏洞。 该漏洞被编号为,攻击者无需以用户身份进行身份验证,不需要访问受害者计算机上的任何设置或文件,受害者设备用户不需要进行任何交互操作,无需点击链接、加载图像或执行文件。 由于此漏洞的性质,在设备密集的环境中风险尤为显著,例如酒店、贸易展览会等场所,在这些地方,攻击者可在不引起警觉的情况下对大量用户发动攻击。 ,
封面图片

微软发布补丁,修复 Win10、Win11 关键漏洞:可安装恶意软件

微软发布补丁,修复 Win10、Win11 关键漏洞:可安装恶意软件 (英文) 该漏洞存在于 ms-appinstaller 统一资源标识符(URI)方案中,攻击者利用该漏洞,可以绕过常规的安全措施,在用户浏览网页的时候悄悄植入危险软件。 攻击者利用 ms-appinstaller 隐藏快捷方式,在受害者 PC 上偷偷安装恶意软件。微软本次补丁已经禁用了这个快捷方式,这意味着从网站下载的任何应用程序都必须像正常下载文件一样通过安全检查。
封面图片

TikTok 缓解针对知名账户的恶意软件攻击

TikTok 缓解针对知名账户的恶意软件攻击 TikTok表示已修复导致本周发生网络攻击的漏洞。黑客向用户发送了一条带有恶意软件的私人消息,用户打开该消息后就会接管用户的帐户。TikTok 证实,身份不明的黑客已经成功接管 CNN 的账号。黑客还试图劫持帕丽斯·希尔顿 (Paris Hilton) 的 TikTok 账户。目前尚不清楚此次攻击的幕后黑手是谁以及黑客利用了什么漏洞,但这种类型的攻击极为罕见,可能不会影响普通用户。TikTok 发言人补充说,公司正在积极与受影响的账户所有者合作,以恢复他们的访问权限
封面图片

微软发现苹果 macOS 漏洞,可植入恶意软件

微软发现苹果 macOS 漏洞,可植入恶意软件 微软于今年 7 月发现了一个 macOS 漏洞,可以绕过 Gatekeeper 安全机制执行恶意软件。微软将发现的这个 macOS 漏洞称之为“Achilles”,并通过“Coordinated Vulnerability Disclosure”将其告知给了苹果公司。该漏洞允许攻击者绕过苹果的 Gatekeeper 安全机制,在 Mac 设备上植入任意恶意软件。 苹果公司在收到微软的报告之后,在本月 13 日发布的 macOS 13(Ventura)、macOS 12.6.2(Monterey)和 macOS 1.7.2(Big Sur)更新中修复了这个漏洞。
封面图片

一个 TikTok 漏洞让攻击者能够控制 CNN 的账号,同时其他一些高知名度的账号也成为了目标。

一个 TikTok 漏洞让攻击者能够控制 CNN 的账号,同时其他一些高知名度的账号也成为了目标。 报道称,帕丽斯·希尔顿的账户也成为了攻击目标,但攻击者未能成功控制该账户。 TikTok的所有者字节跳动只提到了“受影响的账户所有者”,没有指名或说明受影响的账户数量。 周二晚上,TikTok 告诉美联社,这次攻击是通过其直接消息(DM)功能进行的,但没有分享更多关于攻击是如何实施的细节。 一位社交媒体巨头的发言人告诉美联社,他们的安全团队最近收到警报,有“恶意分子正在攻击 CNN 的 TikTok 账号”,该科技公司正在与 CNN 合作恢复访问权限,并增加“增强的安全措施”来保护账号 在周三对 PA 新闻社的进一步声明中,TikTok 发言人表示:“我们的安全团队已经注意到有可能针对一些高知名度账户的漏洞。” “我们已经采取措施阻止这次攻击,并防止它在未来再次发生。” “我们正在直接与受影响的账户所有者合作,必要时恢复访问权限。” 标签: #TikTok #网络攻击 #CNN 频道: @GodlyNews1 投稿: @GodlyNewsBot

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人