Lỗ hổng này nằm trong nền tảng chia sẻ video ngắn phổ biến của TikTok, tạo điều kiện cho kẻ tấn công dễ dàng biên dịch số điện thoại của người dùng, các ID người dùng duy nhất hoặc dữ liệu khác để tấn công phishing.
TikTok hiện có trên 800 triệu người dùng đang hoạt động trên toàn cầu. Lỗ hổng này nằm trong tính năng “Tìm bạn bè” (Find friends) trên mobile, thuận tiện cho người dùng đồng bộ danh bạ của họ với các dịch vụ như danh bạ, Facebook… để tìm danh sách những người tiềm năng có thể theo dõi.
Danh bạ người dùng được tải lên TikTok qua một truy vấn HTTP dưới dạng một danh sách bao gồm tên liên hệ đã được băm (hashed) và số điện thoại tương ứng. Tiếp theo, ứng dụng sẽ gửi một truy vấn HTTP thứ hai để truy xuất các hồ sơ TikTok được kết nối với những số điện thoại được gửi trong truy vấn đầu tiên. Response trả về bao gồm tên hồ sơ, số điện thoại, ảnh và thông tin liên quan.
Để khai thác, trước tiên cần bypass cơ chế HTTP message signing của TikTok. Các nhà nghiên cứu đã thực hiện điều này bằng cách dùng framework phân tích động như Frida, sử dụng cơ chế hook sửa đổi dữ liệu của các đối số (trong trường hợp này là liên hệ mà kẻ tấn công muốn đồng bộ hóa) và re-sign request đã sửa đổi để gửi đến máy chủ ứng dụng TikTok.
Từ đó, kẻ tấn công có thể tự động hóa quá trình tải lên và đồng bộ hóa danh bạ trên quy mô lớn. Điều này có thể cho phép họ xây dựng cơ sở dữ liệu về người dùng và số điện thoại được kết nối của họ và sử dụng cho các cuộc tấn về sau.
Đây không phải lần đầu tiên Tiktok bị phát hiện tồn tại các điểm yếu bảo mật trong nền tảng của mình. May mắn, lỗ hổng này đã được xử lý trước khi công bố.
Vào tháng 1/2020, các nhà nghiên cứu cũng đã đã phát hiện ra nhiều lỗ hổng trong ứng dụng TikTok có thể đã bị khai thác để chiếm tài khoản người dùng và thao túng nội dung của họ, bao gồm cả việc xóa video, tải lên các video trái phép, công khai các video riêng tư được ẩn và để lộ thông tin cá nhân người dùng đã lưu trên tài khoản.
Sau đó vào tháng 4/2020, các nhà nghiên cứu bảo mật cũng đã tìm ra các lỗ hổng trong TikTok khiến những kẻ tấn công có thể hiển thị các video giả mạo, bao gồm cả những video từ các tài khoản đã được xác minh, bằng cách chuyển hướng ứng dụng đến một máy chủ giả mạo lưu trữ bộ sưu tập video giả mạo.
M.H
16:00 | 05/10/2020
13:00 | 17/02/2021
13:00 | 26/02/2021
18:00 | 27/01/2022
08:00 | 11/08/2021
14:00 | 18/09/2020
13:00 | 21/01/2020
09:00 | 18/06/2021
10:00 | 03/03/2022
09:00 | 30/06/2022
14:00 | 28/10/2024
Nhóm tin tặc Awaken Likho hay còn được gọi với cái tên Core Werewolf đã quay trở lại và tiếp tục nhắm mục tiêu vào các cơ quan chính phủ, doanh nghiệp lớn. Bài viết này sẽ tiến hành phân tích kỹ thuật tấn công của nhóm dựa trên công bố của hãng bảo mật Kaspersky.
09:00 | 16/10/2024
Các nhà nghiên cứu của hãng bảo mật Zscaler (Mỹ) đã phân tích một biến thể mới của Copybara, một họ phần mềm độc hại Android xuất hiện vào tháng 11/2021. Copybara là một Trojan chủ yếu lây nhiễm thông qua các cuộc tấn công lừa đảo bằng giọng nói (vishing), trong đó nạn nhân nhận được hướng dẫn qua điện thoại để cài đặt phần mềm độc hại Android. Bài viết sẽ phân tích về biến thể mới của Copybara dựa trên báo cáo của Zscaler.
16:00 | 04/09/2024
Kaspersky vừa phát hiện một nhóm tin tặc có tên Head Mare, chuyên tấn công các tổ chức ở Nga và Belarus bằng cách khai thác lỗ hổng zero-day trong phần mềm nén và giải nén phổ biến WinRAR.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
14:00 | 10/12/2024