在周三的一篇博客文章中，Microsoft 365 Defender 研究团队曝光了 Android 版 TikTok 应用中存在的一个高危漏洞，或致数亿用户被黑客“一键劫持账户”。一旦 TikTok 用户点击了攻击者特制的一个链接，黑客就可能在用户不知情的状况下劫持 Android 上的任意 TikTok 用户账户，然后访问各项主要功能 —— 包括上传发布视频、向他人发送消息、以及查看私密视频等。

虽然尚未有证据称其已被不良行为者所利用，但更糟糕的是，这个高危漏洞还波及 TikTok Android App 的全球衍生版本 —— 目前 Google Play 应用商店的下载总量超过了 15 亿次。

庆幸的是，在问题发现后不久，Microsoft Security 团队就及时地向平台方发去了安全通报，此外 TikTok 发言人 Maureen Shanahan 对微软研究团队的专业与高效大加赞赏。

Microsoft Defender for Endpoint 安全研究合作伙伴主管 Tanmay Ganacharya 向 TheVerge 证实，TikTok 方面很快做出了响应、且双方协力堵上了这个漏洞。

更确切地说，该漏洞主要影响了 Android 应用程序的“深度链接”(DeepLinking)功能。其原本旨在告诉操作系统，让某些 App 以特定方式去处理链接。

举个例子，在单击网页 HTML 代码中嵌入的“关注此账户”按钮后，系统能够按需打开 Twitter App 以关注特定的账号。

这套链接处理流程还对接了一个验证步骤，以对应用程序加载特定链接时执行的操作加以限制 —— 然而微软安全研究人员找到了一个破绽，并最终实现了武器化运用。

其中一项功能允许攻击者检索特定用户账户绑定的身份验证令牌，从而向黑客授予该账户的访问权限、而无需输入密码。

在此基础上，Microsoft 365 Defender 安全研究团队打造了一套概念验证方法 —— 在 TikTok 用户不慎点击了某个恶意链接后，其个人简介就被篡改成了“安全漏洞”(SECURITY BREACH)。

通过这一高危漏洞，微软重申了在技术平台与供应商之间展开充分协作和协调的重要性。

Dimitrios Valsamaras 写道：随着跨平台威胁的数量和复杂程度不断增长，行业愈加需要通过漏洞披露、协调响应、以及其它形式的威胁情报共享，来更好地保护用户的相关体验。

展望未来，无论使用何种设备或平台，微软都将继续与更大的安全社区合作、分享相关威胁研究情报，从而为所有人都提供更好的安全防护。