Buzz
Gần đây, một vấn đề khá phức tạp đã xuất hiện trên ứng dụng TikTok, tạo điều kiện thuận lợi cho các hacker chiếm quyền kiểm soát tài khoản người dùng chỉ trong nháy mắt.
Nhóm nghiên cứu Microsoft 365 Defender Research tiết lộ rằng, họ đã phát hiện một lỗ hổng trên ứng dụng TikTok dành cho hệ điều hành Android. Rất may mắn, lỗi này đã được vá và được gắn nhãn CVE-2022-28799.
Lỗ hổng của TikTok có thể ảnh hưởng đến hàng triệu người dùng
Nhóm nghiên cứu an ninh mạng của Microsoft đã mô tả lỗ hổng này là một phương pháp tấn công chỉ cần một cú nhấp chuột. Tin tặc có thể lợi dụng lỗ hổng bảo mật bằng cách lừa người dùng TikTok bằng một 'liên kết được tạo ra đặc biệt'.
Chỉ với một cú nhấp chuột, kẻ xấu có thể truy cập ngay vào tài khoản TikTok của người khác, có nghĩa là họ có thể xem thông tin nhạy cảm của người dùng. Họ cũng có thể công khai các video riêng tư, gửi tin nhắn và tải video lên thay mặt các chủ tài khoản TikTok.
Đại diện từ nhóm nghiên cứu Microsoft 365 Defender tuyên bố: 'Lỗ hổng bảo mật cho phép bỏ qua xác minh liên kết sâu của ứng dụng. Kẻ tấn công có thể ép ứng dụng tải một URL tùy ý vào WebView, sau đó cho phép URL truy cập vào các đoạn mã JavaScript đính kèm của WebView và cấp quyền cho kẻ tấn công'.
Nhóm an ninh mạng của Microsoft tiết lộ thêm rằng, TikTok có hai biến thể trên hệ điều hành Android: Một cho khu vực Đông Nam Á và một cho phần còn lại của thế giới. Họ đã phân tích cả hai và phát hiện rằng lỗ hổng ảnh hưởng đến 'cả hai phiên bản của ứng dụng'. Tính chung, có hơn 1,5 tỷ lượt cài đặt thông qua Google Play Store.
Rất may mắn, để làm giảm lo ngại của một số người dùng, 'không có bằng chứng nào về việc nó đã bị lợi dụng bởi những kẻ xấu', một phát ngôn viên của TikTok nói với The Verge.
Như đã đề cập, TikTok đã vá lỗ hổng bảo mật; nhóm nghiên cứu Microsoft 365 Defender đã khen ngợi cách giải quyết vấn đề một cách nhanh chóng và chuyên nghiệp. 'Chúng tôi hoan nghênh cách giải quyết hiệu quả và chuyên nghiệp từ nhóm bảo mật của TikTok' - đăng trên blog.
Theo Laptopmag
