Nhóm nghiên cứu Microsoft 365 Defender Research báo cáo rằng, có một lỗi khó chịu đã được tìm thấy trên ứng dụng Tiktok dành cho hệ điều hành Android. May mắn thay lỗi “nghiêm trọng” được dán nhãn CVE-2022-28799 hiên đã được sửa.
Lỗi của Tiktok có thể ảnh hưởng đến hàng triệu người dùng
Nhóm nghiên cứu an ninh mạng của Microsoft đã mô tả lỗi này là một cách khai thác bằng một cú nhấp chuột. Tội phạm mạng có thể lợi dụng lỗ hổng bảo mật bằng cách đánh lừa người dùng TikTok bởi một "liên kết được chế tạo đặc biệt".
Chỉ sau một cú nhấp chuột, những kẻ xấu có thể truy cập ngay vào tài khoản TikTok của người khác, có nghĩa là họ có thể xem thông tin nhạy cảm của người dùng. Những kẻ tấn công cũng có thể công khai các video riêng tư, gửi tin nhắn và tải video lên thay mặt các chủ tài khoản tiktok.
Đại diện nhóm nghiên cứu Microsoft 365 Defender cho biết: "Lỗ hổng bảo mật đã cho phép bỏ qua xác minh liên kết sâu của ứng dụng. Những kẻ tấn công có thể buộc ứng dụng tải một URL tùy ý vào WebView của ứng dụng, sau đó cho phép URL truy cập vào các cầu JavaScript đính kèm của WebView và cấp chức năng cho những kẻ tấn công".
Nhóm an ninh mạng của Microsoft cho biết thêm, TikTok có hai biến thể dựa trên hệ điều hành Android: Một cho khu vực Đông Nam Á và một cho phần còn lại của thế giới. Đội đã phân tích cả hai và phát hiện ra rằng lỗ hổng ảnh hưởng đến "cả hai phiên bản của ứng dụng". Tính chung, họ có hơn 1,5 tỷ lượt cài đặt thông qua “Cửa hàng Google Play”.
May mắn thay, để giảm bớt lo ngại của một số người dùng, "không có bằng chứng nào về việc nó đã bị lợi dụng bởi những kẻ xấu", một phát ngôn viên của TikTok nói với The Verge.
Như đề cập, TikTok đã vá lỗ hổng bảo mật; nhóm nghiên cứu Microsoft 365 Defender có lời khen về việc giải quyết nhanh chóng vấn đề. "Chúng tôi khen ngợi cách giải quyết hiệu quả và chuyên nghiệp từ nhóm bảo mật TikTok" - bài đăng trên blog viết.
Mặc dù việc khai thác đã được khắc phục, nhưng điều quan trọng là bạn phải sử dụng phiên bản TikTok mới nhất để đảm bảo rằng bạn đang sử dụng phiên bản an toàn nhất của ứng dụng.