TikTok零日漏洞被利用,可一键劫持高级账户
近日,攻击者利用社交媒体直接消息功能中的零日漏洞,劫持了多家知名公司和人物的TikTok 账户。
TikTok发言人证实,索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持,为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知,但是TikTok发言人补充说,“被入侵的账户数量非常少”。在零日漏洞被修复之前,或将不会分享有关被利用漏洞的任何细节。
据Semaphor、Forbes等媒体报道,攻击者通过 DMs 入侵这些账户借助了一个零日漏洞,目标用户只要打开恶意信息,哪怕没有下载或点击链接也会中招,因此千万不要打开不明来源的信息。
TikTok表示,公司正在采取措施减轻这一事件的影响,并防止此类事件再次发生。“我们的安全团队发现了一个针对一些品牌和名人账户的潜在漏洞利用,”TikTok发言人在一份声明中称,“我们已经采取措施阻止这次攻击,并防止它在未来再次发生。如果有需要,我们将与受影响的账户所有者直接合作,恢复访问权限。”
这不是近年来第一个影响 TikTok 用户的漏洞。2022年8月,微软披露了 TikTok Android应用程序中目前已修复的高危漏洞详细信息,如果目标用户只是单击特制的链接,攻击者可能会利用该漏洞在用户不知情的情况下劫持帐户。
成功利用该漏洞攻击者可以访问和修改用户的 TikTok 个人资料和敏感信息,从而导致未经授权的私人视频曝光。攻击者还可能滥用该漏洞代表用户发送消息和上传视频。
该漏洞已在TikTok 23.7.3 版本中解决,影响其 Android 应用程序 com.ss.android.ugc.trill(适用于东亚和东南亚用户)和 com.zhiliaoapp.musically(适用于除印度以外的其他国家的用户)。
该漏洞的漏洞号为 CVE-2022-28799(CVSS 评分 8.8),该漏洞与应用程序处理所谓的深度链接有关,这是一种特殊的超链接,允许应用程序在设备上安装的另一个应用程序中打开特定资源,而不是用于访问网站。
一款是“A助手”,一款是“B配置工具”,两款软件都攻破了一家知名企业的电器售后服务系统,伪造电器安装服务工单,骗取售后安装服务费。6月5日,封面新闻从有关部门获悉,四川南充仪陇警方成功打掉开发、销售和使用黑客破坏软件的4个犯罪团伙,查获黑客软件源码2套,查明涉案金额1.2亿余元。
奇怪:为何频繁非正常上传数据?
去年2月23日,仪陇县公安局接群众举报,县城一家电器售后服务老板徐某山,经常使用 一款“A助手软件”对某某电器售后服务APP进行操作,频繁上传电器安装地址和照片。
根据举报线索,民警判断徐某山行为疑似存在使用黑客程序进行网络攻击的行为。遂开展专案侦查工作,围绕“A助手软件”开展逆向破解分析,发现这完全就是黑客攻击软件,未经某某集团授权。这款软件突破了系统安全防护,实现非法侵入、控制目的,能够伪造安装服务工单,上传至售后服务系统,用以骗取售后服务安装维护费用,涉案金额高达30余万元。2023年3月12日,在掌握该团伙所有人员身份和轨迹后,专案组成功抓获包括老板徐某山在内的犯罪嫌疑人10人。
收网:斩断两条“黑客”链条
侦查中发现,这个团伙除使用“A助手软件”,还使用一款同样具备非法侵入、控制售后服务系统伪造安装工单的功能的黑客软件“B配置工具”。
专案组经过4个月的不懈努力,成功研判出“A助手软件”开发人员张某及其销售运营团伙等8人;“B配置工具”黑客软件开发人员白某及其销售运营团伙等9人。
2023年10月,专案组组织40名精干力量分别奔赴黑龙江、山东、广东、广西等地成功抓获两款黑客软件销售运营团伙15人,扣押涉案电脑21台、手机18部,查扣涉案资金360余万元。2024年1月,再赴山东、辽宁成功抓获该两款黑客软件开发者张某、白某二人,查获外挂软件源代码2套,查扣涉案资金200余万元,彻底斩断两条黑客犯罪团伙链条。
预警:系统存在40项安全漏洞
经过对两款黑客软件分析发现,国内某知名电器集团官方APP存在源代码未进行强制权限检查、后台服务器数据交互未加密等40余项安全漏洞,被犯罪嫌疑人利用,开发出了能够控制官方APP,轻易侵入售后服务系统并非法控制进行数据修改的黑客工具。
据了解,这两款“黑客”软件是这家电器集团售后服务人员内外勾结,合力研发出来的,研发人员熟悉公司流程和系统规则。警方梳理出北京、浙江、广东等全国29省市共有802人使用这两款软件,涉及售后合作网点786个。涉案总金额高达1.2亿余元。日前,该案14名主要犯罪嫌疑人员因涉嫌提供侵入、非法控制计算机信息系统、破坏计算机信息系统、合同诈骗等犯罪被依法判处有期徒刑,并追缴违法所得。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...