TikTok修复了可能导致账户劫持的Android漏洞

这些漏洞是由应用安全初创公司Oversected发现的，可能允许同一设备上的恶意应用从TikTok应用程序内部窃取敏感文件，如会话令牌。会话令牌是用户无需重新输入密码即可保持登录状态的小文件。但是，如果这些令牌被盗，攻击者可以在不需要密码的情况下访问用户的帐户。

恶意应用程序将不得不利用这些漏洞将恶意文件注入易受攻击的TikTok应用程序。一旦用户打开应用程序，恶意文件就会被触发，让恶意应用程序在后台以静默方式访问被盗的会话令牌，并将被盗的会话令牌发送到攻击者的服务器。

OverSecure创始人谢尔盖·托申(Sergey Toshin)告诉TechCrunch，这款恶意应用程序还可能劫持TikTok的应用程序权限，允许其访问Android设备的摄像头、麦克风以及设备上的私人数据，如照片和视频。

TikTok发言人希拉里·麦克奎德(Hilary McQuaide)表示：“作为我们正在努力打造业界最安全、最可靠平台的一部分，我们不断与第三方合作，寻找并修复漏洞。”“虽然只有当用户将恶意应用程序下载到他们的Android设备上时，这些漏洞才会带来风险，但我们已经修复了它们。”我们感谢研究人员向我们报告了这个问题，这样我们就可以解决它，我们鼓励我们所有的用户下载最新版本的应用程序。“。

这些漏洞的消息是在TikTok预期禁令即将生效的前几天发布的。今年早些时候，特朗普政府宣布这款视频分享应用因其与中国的关系而对国家安全构成威胁。

TikTok总部位于北京的母公司ByteDance否认了这些指控，并起诉联邦政府挑战这些指控。

TikTok在中国无法访问，该公司表示，它“从未向中国政府提供过用户数据，如果被要求，我们也不会这样做。”