Lỗ hổng này ảnh hưởng đến 2 phiên bản ứng dụng TikTok (với hơn 1,5 tỉ lượt cài đặt) dành cho người dùng Đông Nam Á và các quốc gia khác (ngoại trừ Ấn Độ). Hiện tại, TikTok đã khắc phục được vấn đề, do đó, việc bạn cần làm là cập nhật ứng dụng lên phiên bản mới nhất thông qua Google Play.
 |
| Cập nhật ứng dụng TikTok lên phiên bản mới nhất. Ảnh: TIỂU MINH |
Nhà nghiên cứu Dimitrios Valsamaras (thuộc nhóm nghiên cứu Microsoft 365 Defender) cho biết: “Những kẻ tấn công có thể đã tận dụng lỗ hổng để chiếm đoạt tài khoản mà người dùng không hề hay biết khi họ nhấp vào một liên kết được thiết kế đặc biệt”.
Việc khai thác thành công lỗ hổng cho phép kẻ xấu truy cập, sửa đổi hồ sơ TikTok và các thông tin nhạy cảm, dẫn đến việc người dùng bị lộ các video riêng tư. Bên cạnh đó, tin tặc còn có thể sử dụng tài khoản của bạn để gửi tin nhắn, đăng tải video có nội dung không phù hợp…
Lỗ hổng có tên mã là CVE-2022-28799 (CVSS: 8,8 điểm), liên quan đến việc ứng dụng xử lý thứ được gọi là deeplink, một siêu liên kết đặc biệt cho phép TikTok mở một tài nguyên cụ thể trong một ứng dụng khác được cài đặt trên thiết bị.
Nói một cách đơn giản, lỗ hổng này có thể tải bất kỳ trang web nào mà kẻ tấn công lựa chọn thông qua Android System WebView, một cơ chế để hiển thị nội dung web trên các ứng dụng khác.
 |
| Lợi dụng lỗ hổng trên TikTok để chiếm đoạt tài khoản người dùng. Ảnh: Microsoft |
“Từ góc độ lập trình, việc sử dụng JavaScript Interfaces tiềm ẩn những rủi ro đáng kể. Một khi bị xâm phạm, kẻ tấn công có thể thực thi mã bằng cách sử dụng ID và đặc quyền của ứng dụng”, Microsoft lưu ý.
Trước đó không lâu, nhà nghiên cứu bảo mật Felix Krause đã phát hiện trình duyệt tích hợp trên TikTok (iOS) có khả năng giám sát tất cả thao tác nhập và nhấn bàn phím của người dùng.
Krause nói rằng trình duyệt trên TikTok có khả năng thu thập các chi tiết nhạy cảm bao gồm mật khẩu, thông tin thẻ tín dụng… khi người dùng tương tác với một trang web bất kì. Tuy nhiên, TikTok đã bác bỏ cáo buộc kể trên.
 |
| TikTok được sử dụng khá phổ biến tại Việt Nam. Ảnh: Veed |
"Từ góc độ kỹ thuật, điều này tương đương với việc cài đặt keylogger trên các trang web của bên thứ ba", Krause viết về mã JavaScript mà TikTok đưa vào. Tuy nhiên, nhà nghiên cứu cũng lưu ý rằng không phải ứng dụng nào bổ sung thêm JavaScript cũng đều độc hại.
"Giống như các nền tảng khác, chúng tôi sử dụng trình duyệt trong ứng dụng để cung cấp trải nghiệm người dùng tối ưu, nhưng mã JavaScript được đề cập chỉ được sử dụng để gỡ lỗi, khắc phục sự cố và theo dõi hiệu suất của trải nghiệm đó, như kiểm tra tốc độ tải của một trang hoặc xem nó có bị treo không", một phát ngôn viên của TikTok chia sẻ với Forbes.