微軟披露可挾持TikTok及抖音帳號的安全漏洞

微軟本周披露了一個同時波及國際版TikTok與東南亞版本抖音的安全漏洞，此一編號為CVE-2022-28799的安全漏洞僅影響Andoid平臺上的行動程式，將允許駭客挾持使用者的帳號。

根據微軟的說明，CVE-2022-28799可用來繞過Android版TikTok與抖音上的深度連結驗證機制。駭客得以強迫程式載入一個任意的URL至WebView，讓該URL存取WebView附加的JavaScript Bridge，進而賦予駭客存取功能。

因此，使用者只要點選一個特製的惡意連結，駭客就能挾持使用者的帳號，存取或竄改使用者的個人檔案與機密資訊，例如公布私人影片、擅自傳送訊息或上傳影片等。

微軟提醒，從程式設計的角度來看，以JavaScript作為介面將帶來嚴重風險，一個被破解的JavaScript介面可能會允許駭客利用程式的ID與權限來執行程式，因此建議開發者社群衡量相關風險，同時採取額外的預防措施來保護WebView，包括以白名單來過濾載入WebView的網域，以及使用預設的瀏覽器來開啟非白名單上的網址等。

不管是國際版的TikTok或是東南亞版的抖音都受到此一漏洞的影響，估計波及15億的Android用戶。微軟是在今年2月發現並提報了該漏洞，TikTok則在收到漏洞細節的一個月內就修補了，目前尚未傳出遭到開採的報告。