Lỗ hổng cho phép tin tặc chiếm đoạt tài khoản TikTok

(PLO)- Mới đây, Microsoft đã hé lộ thông tin chi tiết về một lỗ hổng nghiêm trọng trên TikTok, cho phép tin tặc chiếm đoạt tài khoản khi người dùng nhấp vào một liên kết độc hại.
0:00 / 0:00
0:00
  • Nam miền Bắc
  • Nữ miền Bắc
  • Nữ miền Nam
  • Nam miền Nam

Lỗ hổng này ảnh hưởng đến 2 phiên bản ứng dụng TikTok (với hơn 1,5 tỉ lượt cài đặt) dành cho người dùng Đông Nam Á và các quốc gia khác (ngoại trừ Ấn Độ). Hiện tại, TikTok đã khắc phục được vấn đề, do đó, việc bạn cần làm là cập nhật ứng dụng lên phiên bản mới nhất thông qua Google Play.

Cập nhật ứng dụng TikTok lên phiên bản mới nhất. Ảnh: TIỂU MINH

Cập nhật ứng dụng TikTok lên phiên bản mới nhất. Ảnh: TIỂU MINH

Nhà nghiên cứu Dimitrios Valsamaras (thuộc nhóm nghiên cứu Microsoft 365 Defender) cho biết: “Những kẻ tấn công có thể đã tận dụng lỗ hổng để chiếm đoạt tài khoản mà người dùng không hề hay biết khi họ nhấp vào một liên kết được thiết kế đặc biệt”.

Việc khai thác thành công lỗ hổng cho phép kẻ xấu truy cập, sửa đổi hồ sơ TikTok và các thông tin nhạy cảm, dẫn đến việc người dùng bị lộ các video riêng tư. Bên cạnh đó, tin tặc còn có thể sử dụng tài khoản của bạn để gửi tin nhắn, đăng tải video có nội dung không phù hợp…

Lỗ hổng có tên mã là CVE-2022-28799 (CVSS: 8,8 điểm), liên quan đến việc ứng dụng xử lý thứ được gọi là deeplink, một siêu liên kết đặc biệt cho phép TikTok mở một tài nguyên cụ thể trong một ứng dụng khác được cài đặt trên thiết bị.

Nói một cách đơn giản, lỗ hổng này có thể tải bất kỳ trang web nào mà kẻ tấn công lựa chọn thông qua Android System WebView, một cơ chế để hiển thị nội dung web trên các ứng dụng khác.

tiktok-dinh-lo-hong

Lợi dụng lỗ hổng trên TikTok để chiếm đoạt tài khoản người dùng. Ảnh: Microsoft

“Từ góc độ lập trình, việc sử dụng JavaScript Interfaces tiềm ẩn những rủi ro đáng kể. Một khi bị xâm phạm, kẻ tấn công có thể thực thi mã bằng cách sử dụng ID và đặc quyền của ứng dụng”, Microsoft lưu ý.

Trước đó không lâu, nhà nghiên cứu bảo mật Felix Krause đã phát hiện trình duyệt tích hợp trên TikTok (iOS) có khả năng giám sát tất cả thao tác nhập và nhấn bàn phím của người dùng.

Krause nói rằng trình duyệt trên TikTok có khả năng thu thập các chi tiết nhạy cảm bao gồm mật khẩu, thông tin thẻ tín dụng… khi người dùng tương tác với một trang web bất kì. Tuy nhiên, TikTok đã bác bỏ cáo buộc kể trên.

tiktok-duoc-su-dung-pho-bien-tai-viet-nam

TikTok được sử dụng khá phổ biến tại Việt Nam. Ảnh: Veed

"Từ góc độ kỹ thuật, điều này tương đương với việc cài đặt keylogger trên các trang web của bên thứ ba", Krause viết về mã JavaScript mà TikTok đưa vào. Tuy nhiên, nhà nghiên cứu cũng lưu ý rằng không phải ứng dụng nào bổ sung thêm JavaScript cũng đều độc hại.

"Giống như các nền tảng khác, chúng tôi sử dụng trình duyệt trong ứng dụng để cung cấp trải nghiệm người dùng tối ưu, nhưng mã JavaScript được đề cập chỉ được sử dụng để gỡ lỗi, khắc phục sự cố và theo dõi hiệu suất của trải nghiệm đó, như kiểm tra tốc độ tải của một trang hoặc xem nó có bị treo không", một phát ngôn viên của TikTok chia sẻ với Forbes.

Đọc thêm

Một sai lầm khiến tài khoản Zalo có nguy cơ rơi vào tay người khác

Một sai lầm khiến tài khoản Zalo có nguy cơ rơi vào tay người khác

(PLO)- Nhiều người sau khi đổi số điện thoại vẫn tiếp tục sử dụng tài khoản Zalo mà không cập nhật thông tin mới. Thói quen này tưởng chừng vô hại nhưng có thể gây ra không ít phiền phức nếu số điện thoại cũ bị nhà mạng thu hồi và cấp lại cho người khác.

Cách ghi âm tốt nhất trên iPhone

Cách ghi âm tốt nhất trên iPhone

(PLO)- Nhiều người sử dụng iPhone để ghi âm cuộc họp, phỏng vấn hoặc lưu lại ý tưởng bất chợt. Tuy nhiên, không phải ai cũng biết rằng ứng dụng Ghi âm (Voice Memos) trên iPhone có sẵn một tính năng giúp cải thiện chất lượng âm thanh chỉ với vài thao tác đơn giản.

20 năm Intel tại Việt Nam: Từ vài trăm nhân sự đến nhà máy xuất khẩu hơn 110 tỉ USD

20 năm Intel tại Việt Nam: Từ vài trăm nhân sự đến nhà máy xuất khẩu hơn 110 tỉ USD

(PLO)- Hai mươi năm sau khi đặt nền móng tại Khu Công nghệ cao TP.HCM, Intel không chỉ vận hành cơ sở lắp ráp và kiểm định chip lớn nhất trong mạng lưới toàn cầu của mình, mà còn trở thành một trong những doanh nghiệp công nghệ có đóng góp lớn nhất cho hoạt động xuất khẩu và đào tạo nhân lực bán dẫn tại Việt Nam.

VNG lần đầu đặt mục tiêu có lãi sau khi lên sàn

VNG lần đầu đặt mục tiêu có lãi sau khi lên sàn

(PLO)- Sau nhiều năm theo đuổi chiến lược tăng trưởng và liên tục mở rộng hệ sinh thái công nghệ, VNG đang bước vào giai đoạn mới khi lần đầu tiên đặt mục tiêu có lãi kể từ khi cổ phiếu VNZ giao dịch trên UPCoM.