近日，攻擊者利用社交媒體直接消息功能中的零日漏洞，劫持了多家知名公司和人物的TikTok 賬戶。

TikTok發(fā)言人證實，索尼、希爾頓、美國有線電視新聞網(wǎng)(CNN)等用戶的賬戶已遭到黑客劫持，為了防止被濫用被迫暫時刪除。此次黑客攻擊的程度還不得而知，但是TikTok發(fā)言人補(bǔ)充說，“被入侵的賬戶數(shù)量非常少”。在零日漏洞被修復(fù)之前，或?qū)⒉粫窒碛嘘P(guān)被利用漏洞的任何細(xì)節(jié)。

據(jù)Semaphor、Forbes等媒體報道，攻擊者通過 DMs 入侵這些賬戶借助了一個零日漏洞，目標(biāo)用戶只要打開惡意信息，哪怕沒有下載或點擊鏈接也會中招，因此千萬不要打開不明來源的信息。

TikTok表示，公司正在采取措施減輕這一事件的影響，并防止此類事件再次發(fā)生?！拔覀兊陌踩珗F(tuán)隊發(fā)現(xiàn)了一個針對一些品牌和名人賬戶的潛在漏洞利用，”TikTok發(fā)言人在一份聲明中稱，“我們已經(jīng)采取措施阻止這次攻擊，并防止它在未來再次發(fā)生。如果有需要，我們將與受影響的賬戶所有者直接合作，恢復(fù)訪問權(quán)限。”

這不是近年來第一個影響 TikTok 用戶的漏洞。2022年8月，微軟披露了 TikTok Android應(yīng)用程序中目前已修復(fù)的高危漏洞詳細(xì)信息，如果目標(biāo)用戶只是單擊特制的鏈接，攻擊者可能會利用該漏洞在用戶不知情的情況下劫持帳戶。

成功利用該漏洞攻擊者可以訪問和修改用戶的 TikTok 個人資料和敏感信息，從而導(dǎo)致未經(jīng)授權(quán)的私人視頻曝光。攻擊者還可能濫用該漏洞代表用戶發(fā)送消息和上傳視頻。

該漏洞已在TikTok 23.7.3 版本中解決，影響其 Android 應(yīng)用程序 com.ss.android.ugc.trill（適用于東亞和東南亞用戶）和 com.zhiliaoapp.musically（適用于除印度以外的其他國家的用戶）。

該漏洞的漏洞號為 CVE-2022-28799（CVSS 評分 8.8），該漏洞與應(yīng)用程序處理所謂的深度鏈接有關(guān)，這是一種特殊的超鏈接，允許應(yīng)用程序在設(shè)備上安裝的另一個應(yīng)用程序中打開特定資源，而不是用于訪問網(wǎng)站。

參考來源：https://www.bleepingcomputer.com/news/security/tiktok-fixes-zero-day-bug-used-to-hijack-high-profile-accounts/