Các nhà nghiên cứu của Check Point đã phát hiện ra các lỗ hổng này trong nền tảng mạng xã hội phổ biến TikTok. Trong đó, bao gồm một lỗi liên kết SMS giả mạo, ảnh hưởng đến tính năng trên trang web chính của TikTok cho phép người dùng gửi tin nhắn đến điện thoại của họ để tải ứng dụng.
Lỗ hổng này có thể cho phép tin tặc tìm ra số điện thoại của nạn nhân để gửi các liên kết độc hại tùy chỉnh. Từ đó, tin tặc có thể chiếm đoạt tài khoản, xóa video, đăng nội dung và công khai các video riêng tư.
Hãng bảo mật Check Point cũng phát hiện ra lỗ hổng chèn mã chéo trang (Cross-Site Scripting - XSS) trong tên miền phụ quảng cáo trên website chính thức của TikTok, cụ thể là trong phần trung tâm trợ giúp. Lỗ hổng này có thể cho phép tin tặc chèn mã JavaScript độc hại vào website để thu thập thông tin tài khoản cá nhân của người dùng. Lỗ hổng bị khai thác do thiếu cơ chế giả mạo yêu cầu chống chéo trang.
Trưởng bộ phận nghiên cứu lỗ hổng sản phẩm của Check Point - Oded Vanunu, giải thích: “Các ứng dụng mạng xã hội dễ bị tin tặc nhắm mục tiêu khai thác lỗ hổng vì có nhiều nguồn dữ liệu riêng tư và dễ dàng bị tấn công".
“Tin tặc đang tiêu tốn chi phí và giành nhiều nỗ lực để thâm nhập vào các ứng dụng phổ biến như vậy. Tuy nhiên, hầu hết người dùng đều cho rằng họ đã được bảo vệ bởi những ứng dụng này”, Vanunu cho biết thêm.
Công ty công nghệ ByteDance có trụ sở tại Bắc Kinh, Trung Quốc đã mua ứng dụng TikTok từ công ty Music.ly của Mỹ vào năm 2017, nhưng vì sự phổ biến của nó tại Mỹ, nên các nhà lập pháp đang ngày càng quan ngại về sự trao đổi này. Điều này tạo lên mối lo ngại về bảo mật về ứng dụng tồn tại ở Mỹ và quyền sở hữu của ứng dụng là của Trung Quốc.
Các báo cáo cho thấy, cả quân đội và hải quân Mỹ đã cấm các quân nhân sử dụng ứng dụng này trên các thiết bị do chính phủ trang cấp. Trong khi đó, Ủy ban Đầu tư Nước ngoài (CFIUS) của Mỹ đã bắt đầu một cuộc điều tra về việc liệu dữ liệu người dùng mà TikTok thu thập có được coi là rủi ro an ninh quốc gia hay không.
T.U
Theo InfoSecurity
08:00 | 02/01/2020
10:00 | 25/02/2020
11:00 | 06/01/2020
16:00 | 05/10/2020
13:00 | 04/02/2021
16:00 | 23/12/2019
14:00 | 18/09/2020
09:00 | 30/06/2022
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
14:00 | 08/11/2023
Một nhóm tin tặc hacktivist ủng hộ phong trào Hamas đã bị phát hiện đang sử dụng phần mềm độc hại Wiper mới dựa trên hệ điều hành Linux với mục tiêu nhắm vào các công ty của Israel, trong bối cảnh cuộc chiến quân sự giữa Israel và Hamas đang diễn ra.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024