Một lỗ hổng bảo mật lớn đã được phát hiện bởi các nhà nghiên cứu bảo mật tại Check Point Research. Nó cung cấp cho họ khả năng truy cập trình quản lý video của người dùng TikTok, xuất bản nội dung cho họ, làm cho video được quay riêng tư trên ứng dụng công khai. Tệ hơn nữa, họ cũng có thể truy cập hồ sơ của các thành viên trên mạng xã hội và do đó lấy dữ liệu cá nhân của họ, chẳng hạn như tên, ngày sinh hoặc thậm chí là e-mail của họ.
Theo các nhà nghiên cứu, lỗ hổng này có thể cho phép họ dễ dàng thu hút nạn nhân bằng cách khai thác một trong các tùy chọn của ứng dụng TikTok: khôi phục mật khẩu bằng cách gửi mã xác nhận đến số điện thoại của họ.
Cách các nhà nghiên cứu quản lý để phát hiện lỗ hổng bảo mật
Đối với điều này, Check Point đã gửi một tin nhắn văn bản giả mạo cho người dùng có chứa liên kết tải xuống bị tấn công, giả vờ là một thông tin liên lạc chính thức được gửi bởi nền tảng.
Tín dụng hình ảnh: Kiểm tra Điểm Nghiên cứu.Khi chủ sở hữu tài khoản nhấp vào liên kết này, họ đã nhập thông tin đăng nhập của mình.
Tín dụng hình ảnh: Kiểm tra Điểm Nghiên cứu.Sau đó, các nhà nghiên cứu có thể truy cập vào tài khoản và các video được quay riêng để xuất bản chúng, xóa nội dung hoặc khôi phục dữ liệu cá nhân của người dùng bị tấn công.
TikTok kêu gọi các nhà nghiên cứu tìm ra các lỗi bảo mật khác
TikTok đã được các nhà nghiên cứu của Check Point liên hệ vào ngày 15 tháng 11. Hai tuần sau, mạng xã hội này đã vá lỗ hổng bảo mật trong phiên bản cập nhật mới nhất của ứng dụng.
“TikTok cam kết bảo vệ dữ liệu của người dùng. Chúng tôi khuyến khích các nhà nghiên cứu bảo mật báo cáo lỗ hổng zero-day một cách riêng tư cho chúng tôi, Luke Deshotels, thành viên bộ phận bảo mật của TikTok, cho biết trong một tuyên bố được The Verge chuyển tiếp. Trước khi phát hành câu chuyện này cho công chúng, chúng tôi đã đồng ý với CheckPoint để vá tất cả các sự cố được báo cáo trên phiên bản mới nhất của ứng dụng của chúng tôi. Chúng tôi hy vọng rằng kinh nghiệm thành công này sẽ khuyến khích sự hợp tác trong tương lai với các nhà nghiên cứu bảo mật. »
TikTok, ứng dụng thuộc sở hữu của ByteDance từ năm 2017 và có 625 triệu người dùng hoạt động hàng tháng, bị cáo buộc chuyển dữ liệu cá nhân của các thành viên sang máy chủ Trung Quốc, trong một cuộc điều tra do Hoa Kỳ dẫn đầu. Tin đồn cho thấy chủ sở hữu ứng dụng có thể sẽ bán ứng dụng cho những người mua tiềm năng, để công ty mẹ khôi phục lại hình ảnh của nó.
