近日，攻擊者利用社交媒體直接消息功能中的零日漏洞，劫持了多家知名公司和人物的TikTok 賬戶。

TikTok發言人證實，索尼、希爾頓、美國有線電視新聞網(CNN)等用戶的賬戶已遭到黑客劫持，為了防止被濫用被迫暫時刪除。此次黑客攻擊的程度還不得而知，但是TikTok發言人補充說，“被入侵的賬戶數量非常少”。在零日漏洞被修復之前，或將不會分享有關被利用漏洞的任何細節。

據Semaphor、Forbes等媒體報道，攻擊者通過 DMs 入侵這些賬戶借助了一個零日漏洞，目標用戶只要打開惡意信息，哪怕沒有下載或點擊鏈接也會中招，因此千萬不要打開不明來源的信息。

TikTok表示，公司正在采取措施減輕這一事件的影響，并防止此類事件再次發生?！拔覀兊陌踩珗F隊發現了一個針對一些品牌和名人賬戶的潛在漏洞利用，”TikTok發言人在一份聲明中稱，“我們已經采取措施阻止這次攻擊，并防止它在未來再次發生。如果有需要，我們將與受影響的賬戶所有者直接合作，恢復訪問權限?！?/p>

這不是近年來第一個影響 TikTok 用戶的漏洞。2022年8月，微軟披露了 TikTok Android應用程序中目前已修復的高危漏洞詳細信息，如果目標用戶只是單擊特制的鏈接，攻擊者可能會利用該漏洞在用戶不知情的情況下劫持帳戶。

成功利用該漏洞攻擊者可以訪問和修改用戶的 TikTok 個人資料和敏感信息，從而導致未經授權的私人視頻曝光。攻擊者還可能濫用該漏洞代表用戶發送消息和上傳視頻。

該漏洞已在TikTok 23.7.3 版本中解決，影響其 Android 應用程序 com.ss.android.ugc.trill（適用于東亞和東南亞用戶）和 com.zhiliaoapp.musically（適用于除印度以外的其他國家的用戶）。

該漏洞的漏洞號為 CVE-2022-28799（CVSS 評分 8.8），該漏洞與應用程序處理所謂的深度鏈接有關，這是一種特殊的超鏈接，允許應用程序在設備上安裝的另一個應用程序中打開特定資源，而不是用于訪問網站。

參考來源：https://www.bleepingcomputer.com/news/security/tiktok-fixes-zero-day-bug-used-to-hijack-high-profile-accounts/