TikTok đang bùng nổ trong những năm gần đây, đặc biệt là trong mùa dịch COVID-19 khi số lượng người ở nhà làm việc ngày một tăng cao. Tuy nhiên, cũng giống như Zoom, dù nền tảng có phổ biến đến đâu thì vẫn tồn tại các lỗ hổng bảo mật trên hệ thống.
Mới đây, hai nhà phát triển (gọi tắt là Mysk) đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trên TikTok, cho phép tin tặc có thể hack tài khoản người dùng bằng một cuộc tấn công DNS.
Lỗ hổng này liên quan đến việc TikTok sử dụng giao thức HTTP thay vì HTTPS để lấy nội dung đa phương tiện từ mạng phân phối nội dung (CDN) của công ty. Việc sử dụng giao thức HTTP có thể cải thiện hiệu suất truyền dữ liệu nhưng sẽ khiến người dùng gặp nhiều rủi ro vì thông tin không được mã hóa.
Lượng người dùng TikTok tăng nhanh trong mùa dịch COVID-19. Ảnh: Internet
Hai nhà phát triển đã thử lợi dụng lỗ hổng này để chuyển đổi video do người dùng TikTok xuất bản thành các video có nội dung không phù hợp, hoặc đưa thông tin về dịch COVID-19 không chính xác. Bạn đọc quan tâm có thể tham khảo video thực hiện tại địa chỉ:
https://www.youtube.com/watch?v=voTnYPfkqlY
Mysk đã tạo ra các video chia sẻ thông tin COVID-19 sai lệch trên một số tài khoản phổ biến và đã được xác minh trên nền tảng, bao gồm Tổ chức Y tế Thế giới (WHO), Hội Chữ thập đỏ Anh và Mỹ và thậm chí cả tài khoản TikTok chính thức.
Rất may, chỉ những người dùng kết nối trực tiếp với máy chủ của nhà phát triển mới bị ảnh hưởng. Không ai ngoài mạng nhìn thấy những video giả mạo này. Tuy nhiên, Mysk cho biết cuộc tấn công hoàn toàn có thể xảy ra trong thực tế và được áp dụng trên quy mô lớn hơn nhiều.
Có rất nhiều vấn đề mà người dùng, doanh nghiệp sẽ phải đối mặt nếu vẫn sử dụng giao thức HTTP mà không chuyển sang HTTPS.
Theo trang Android Authority, ở thời điểm hiện tại, lỗ hổng trên ảnh hưởng đến ứng dụng TikTok phiên bản 15.7.4 (Android) và phiên bản 15.5.6 (iOS).
