Ứng dụng có số lượt tải xuống nhiều thứ 3 trong năm 2019 TikTok hiện đang bị điều tra do các lo ngại về quyền riêng tư của người dùng và cách ứng dụng này kiểm duyệt nội dung chính trị gây tranh cãi. Mọi chuyện không dừng lại ở đó, tài khoản của hàng tỷ người dùng TikTok đang đứng trước nguy cơ bị xâm phạm bảo mật.
Phát hiện nhiều lỗ hổng trong ứng dụng TikTok
Ứng dụng chia sẻ video viral của Trung Quốc bị phát hiện chứa các lỗ hổng nguy hiểm cho phép hacker tấn công từ xa, chiếm quyền điều khiển bất kỳ tài khoản nào chỉ với một thông tin duy nhất: số điện thoại di động của nạn nhân.
Trong một báo cáo gần đây, các nhà nghiên cứu an ninh mạng tại Check Point tiết lộ rằng việc kết hợp nhiều lỗ hổng trong ứng dụng TikTok cho phép họ thực thi những dòng lệnh độc hại từ xa và thực hiện nhiều hành vi trái phép dưới danh nghĩa nạn nhân mà không cần có sự đồng ý của họ.
Các lỗ hổng được khai thác bao gồm các vấn đề ít nghiêm trọng như giả mạo liên kết SMS, chuyển hướng mở và tấn công cross-site scripting XSS (chèn mã độc thông qua các đoạn script để thực thi chúng ở phía client). Những vấn đề này khi kết hợp có thể cho phép kẻ tấn công từ xa thực hiện các hành vi ảnh hưởng nghiêm trọng như:
- xóa mọi video khỏi TikTok của nạn nhân;
- tải video trái phép lên TikTok của nạn nhân;
- đặt các video từ riêng tư thành công khai; và
- tiết lộ thông tin cá nhân được lưu trên tài khoản như địa chỉ và email riêng tư.
Tấn công thông qua tính năng gửi SMS để tải ứng dụng
Cuộc tấn công tận dụng hệ thống SMS không an toàn trên trang web TikTok. Hệ thống này cho phép người dùng gửi tin nhắn đến số điện thoại của họ bằng liên kết để tải ứng dụng.
Theo các nhà nghiên cứu, kẻ tấn công có thể gửi tin nhắn SMS đến bất kỳ số điện thoại nào dưới danh nghĩa TikTok. Sau đó điều hướng đường dẫn tải app tới một trang độc hại được thiết kế để thực thi mã độc trong ứng dụng TikTok trên thiết bị.
Khi được kết hợp với chuyển hướng mở và XSS, tin tặc có thể chạy mã JavaScript ngay khi nạn nhân nhấp vào liên kết được gửi bởi máy chủ TikTok qua SMS như trình bày trong video.
Kỹ thuật này thường được gọi là tấn công CSRF (Cross-Site Request Forgery – sử dụng quyền chứng thực của người sử dụng đối với 1 website khác).
Các nhà nghiên cứu phát biểu trong một bài đăng:
“Với việc sử dụng CSRF, chúng tôi nhận ra rằng mình có thể thực thi mã JavaScript và thực hiện các thao tác khác thay cho nạn nhân mà không cần sự đồng ý của họ”.
“Chuyển hướng người dùng đến một trang web độc hại sẽ thực thi mã JavaScript và gửi yêu cầu tới Tiktok bằng cookie của nạn nhân.”
Đã có bản vá sửa lỗi từ TikTok
Check Point đã báo cáo các lỗ hổng này cho nhà phát triển TikTok là ByteDance vào cuối tháng 11/2019. Sau đó ByteDance đã phát hành một phiên bản vá lỗi trong vòng một tháng để bảo vệ người dùng khỏi tin tặc.
Để đảm bảo an toàn, nếu chưa cập nhật TikTok phiên bản mới nhất thì bạn nên cập nhật ngay.
