• Tin tức
    • Bản tin an ninh mạng
    • Lỗ hổng
    • Malware
    • Tấn công mạng
  • Kiến thức
    • Bảo mật hệ thống
    • Bảo mật phần cứng
    • Bảo mật ứng dụng
    • Digital Forensics
    • Mã độc
    • Mật mã
  • Hướng dẫn
  • Giải pháp
  • Cộng đồng
TÌM KIẾM
Đăng ký   /
Đăng nhập
SecurityDaily
  • Tin tức
    • Tất cảBản tin an ninh mạngLỗ hổngMalwareTấn công mạng
      team5

      Tin tặc LuoYu của Trung Quốc sử dụng các cuộc tấn công Man-on-the-Side…

      conti ransomware

      Thông tin bị rò rỉ của Conti tiết lộ sự quan tâm của băng nhóm Ransomw…

      Công cụ YODA Đã tìm thấy khoảng 47.000 Plugin WordPress độc hại được c…

      Server Discord của Bored Ape Yacht Club đã bị tấn công. Trách nhiệm nê…

  • Kiến thức
    • Tất cảBảo mật hệ thốngBảo mật phần cứngBảo mật ứng dụngDigital ForensicsMã độcMật mã
      software security

      Mối đe dọa tiếp diễn của các lỗ hổng bảo mật chưa được khắc phục

      ASM đóng vai trò như thế nào trong an ninh mạng?

      Khả năng hiển thị mối đe dọa – nơi bắt đầu của bảo vệ an ninh mạ…

      iot malware

      Phát hiện mã độc trên các thiết bị IoT bằng phương pháp phát xạ điện t…

  • Hướng dẫn
  • Giải pháp
  • Cộng đồng

Các nhà nghiên cứu tiết lộ cách hack bất kỳ tài khoản TikTok nào qua SMS

Nguyen Dang
Tin tức-Lỗ hổng- 10/01/2020

Ứng dụng có số lượt tải xuống nhiều thứ 3 trong năm 2019 TikTok hiện đang bị điều tra do các lo ngại về quyền riêng tư của người dùng và cách ứng dụng này kiểm duyệt nội dung chính trị gây tranh cãi. Mọi chuyện không dừng lại ở đó, tài khoản của hàng tỷ người dùng TikTok đang đứng trước nguy cơ bị xâm phạm bảo mật.

Phát hiện nhiều lỗ hổng trong ứng dụng TikTok

Ứng dụng chia sẻ video viral của Trung Quốc bị phát hiện chứa các lỗ hổng nguy hiểm cho phép hacker tấn công từ xa, chiếm quyền điều khiển bất kỳ tài khoản nào chỉ với một thông tin duy nhất: số điện thoại di động của nạn nhân.

Trong một báo cáo gần đây, các nhà nghiên cứu an ninh mạng tại Check Point tiết lộ rằng việc kết hợp nhiều lỗ hổng trong ứng dụng TikTok cho phép họ thực thi những dòng lệnh độc hại từ xa và thực hiện nhiều hành vi trái phép dưới danh nghĩa nạn nhân mà không cần có sự đồng ý của họ.

Các lỗ hổng được khai thác bao gồm các vấn đề ít nghiêm trọng như giả mạo liên kết SMS, chuyển hướng mở và tấn công cross-site scripting XSS (chèn mã độc thông qua các đoạn script để thực thi chúng ở phía client). Những vấn đề này khi kết hợp có thể cho phép kẻ tấn công từ xa thực hiện các hành vi ảnh hưởng nghiêm trọng như:

  • xóa mọi video khỏi TikTok của nạn nhân;
  • tải video trái phép lên TikTok của nạn nhân;
  • đặt các video từ riêng tư thành công khai; và
  • tiết lộ thông tin cá nhân được lưu trên tài khoản như địa chỉ và email riêng tư.

Tấn công thông qua tính năng gửi SMS để tải ứng dụng

Cuộc tấn công tận dụng hệ thống SMS không an toàn trên trang web TikTok. Hệ thống này cho phép người dùng gửi tin nhắn đến số điện thoại của họ bằng liên kết để tải ứng dụng.

Theo các nhà nghiên cứu, kẻ tấn công có thể gửi tin nhắn SMS đến bất kỳ số điện thoại nào dưới danh nghĩa TikTok. Sau đó điều hướng đường dẫn tải app tới một trang độc hại được thiết kế để thực thi mã độc trong ứng dụng TikTok trên thiết bị.

Khi được kết hợp với chuyển hướng mở và XSS, tin tặc có thể chạy mã JavaScript ngay khi nạn nhân nhấp vào liên kết được gửi bởi máy chủ TikTok qua SMS như trình bày trong video.

Kỹ thuật này thường được gọi là tấn công CSRF (Cross-Site Request Forgery – sử dụng quyền chứng thực của người sử dụng đối với 1 website khác).

Các nhà nghiên cứu phát biểu trong một bài đăng:

“Với việc sử dụng CSRF, chúng tôi nhận ra rằng mình có thể thực thi mã JavaScript và thực hiện các thao tác khác thay cho nạn nhân mà không cần sự đồng ý của họ”.

“Chuyển hướng người dùng đến một trang web độc hại sẽ thực thi mã JavaScript và gửi yêu cầu tới Tiktok bằng cookie của nạn nhân.”

Đã có bản vá sửa lỗi từ TikTok

Check Point đã báo cáo các lỗ hổng này cho nhà phát triển TikTok là ByteDance vào cuối tháng 11/2019. Sau đó ByteDance đã phát hành một phiên bản vá lỗi trong vòng một tháng để bảo vệ người dùng khỏi tin tặc.

Để đảm bảo an toàn, nếu chưa cập nhật TikTok phiên bản mới nhất thì bạn nên cập nhật ngay.

  • #Hack
  • #Hack tài khoản
  • #tiktok
  • #hack account
  • #hack tiktok
  • #ứng dụng tiktok

BÀI VIẾT LIÊN QUANXEM THÊM

Tianfu Cup 2021

Windows 10, Linux, iOS, Chrome và nhiều phần mềm khác đã bị hack tại T...

Từ lừa đảo trong game Minecraft đến hack Twitter: Con đường lầm lỗi củ...

Phát hiện lỗ hổng bảo mật trên bản sao TikTok của Ấn Độ

BÌNH LUẬN Hủy trả lời

đăng nhập để lại một bình luận

Bài viết nổi bật
team5

Tin tặc LuoYu của Trung Quốc sử dụng các cuộc tấn công Man-o...

Tấn công mạng - 15/06/2022
conti ransomware

Thông tin bị rò rỉ của Conti tiết lộ sự quan tâm của băng nh...

Tấn công mạng - 13/06/2022

Công cụ YODA Đã tìm thấy khoảng 47.000 Plugin WordPress độc ...

Lỗ hổng - 10/06/2022

    Nhận những bài viết mới nhất từ SecurityDaily


    Trang tin tức, cảnh báo và phân tích chuyên sâu về an ninh mạng.
    Mọi thắc mắc liên hệ: contact@securitydaily.net
    Tải nội dung trên Google Play Tải nội dung trên App Store
    • Facebook Page
    • Facebook Group
    • Giới thiệu
    Copyright © 2018 SecurityDaily. All rights reserved.

    Cảm ơn bạn vì đã đăng ký!

    Đừng quên kiểm tra hòm thư của mình thường xuyên
    để không bỏ lỡ các bài viết tin tức và kiến thức mới nhất từ SecurityDaily nhé!

      Nhận các cảnh báo bảo mật cùng +20.000 thành viên

      Đăng ký nhận tin từ CyStack Resource

      Cảm ơn bạn

      Cảm ơn bạn đã đăng ký theo dõi.

      Edit with Live CSS
      Save
      Write CSS OR LESS and hit save. CTRL + SPACE for auto-complete.