Lỗ hổng trong Tiktok làm rò rỉ thông tin riêng tư người dùng

13:00 | 04/02/2021 | LỖ HỔNG ATTT

Các nhà nghiên cứu bảo mật của Check Point vừa tiết lộ một lỗ hổng bảo mật trong TikTok, nếu khai thác thành công sẽ cho phép kẻ tấn công truy vấn vào hồ sơ chi tiết của người dùng, dẫn đến các vi phạm về quyền riêng tư.

Lỗ hổng trong Tiktok làm rò rỉ thông tin riêng tư người dùng

Lỗ hổng này nằm trong nền tảng chia sẻ video ngắn phổ biến của TikTok, tạo điều kiện cho kẻ tấn công dễ dàng biên dịch số điện thoại của người dùng, các ID người dùng duy nhất hoặc dữ liệu khác để tấn công phishing.

TikTok hiện có trên 800 triệu người dùng đang hoạt động trên toàn cầu. Lỗ hổng này nằm trong tính năng “Tìm bạn bè” (Find friends) trên mobile, thuận tiện cho người dùng đồng bộ danh bạ của họ với các dịch vụ như danh bạ, Facebook… để tìm danh sách những người tiềm năng có thể theo dõi.

Danh bạ người dùng được tải lên TikTok qua một truy vấn HTTP dưới dạng một danh sách bao gồm tên liên hệ đã được băm (hashed) và số điện thoại tương ứng. Tiếp theo, ứng dụng sẽ gửi một truy vấn HTTP thứ hai để truy xuất các hồ sơ TikTok được kết nối với những số điện thoại được gửi trong truy vấn đầu tiên. Response trả về bao gồm tên hồ sơ, số điện thoại, ảnh và thông tin liên quan.

Lỗ hổng trong Tiktok làm rò rỉ thông tin riêng tư người dùng

Để khai thác, trước tiên cần bypass cơ chế HTTP message signing của TikTok. Các nhà nghiên cứu đã thực hiện điều này bằng cách dùng framework phân tích động như Frida, sử dụng cơ chế hook sửa đổi dữ liệu của các đối số (trong trường hợp này là liên hệ mà kẻ tấn công muốn đồng bộ hóa) và re-sign request đã sửa đổi để gửi đến máy chủ ứng dụng TikTok.

Từ đó, kẻ tấn công có thể tự động hóa quá trình tải lên và đồng bộ hóa danh bạ trên quy mô lớn. Điều này có thể cho phép họ xây dựng cơ sở dữ liệu về người dùng và số điện thoại được kết nối của họ và sử dụng cho các cuộc tấn về sau.

Đây không phải lần đầu tiên Tiktok bị phát hiện tồn tại các điểm yếu bảo mật trong nền tảng của mình. May mắn, lỗ hổng này đã được xử lý trước khi công bố.

Vào tháng 1/2020, các nhà nghiên cứu cũng đã đã phát hiện ra nhiều lỗ hổng trong ứng dụng TikTok có thể đã bị khai thác để chiếm tài khoản người dùng và thao túng nội dung của họ, bao gồm cả việc xóa video, tải lên các video trái phép, công khai các video riêng tư được ẩn và để lộ thông tin cá nhân người dùng đã lưu trên tài khoản.

Sau đó vào tháng 4/2020, các nhà nghiên cứu bảo mật cũng đã tìm ra các lỗ hổng trong TikTok khiến những kẻ tấn công có thể hiển thị các video giả mạo, bao gồm cả những video từ các tài khoản đã được xác minh, bằng cách chuyển hướng ứng dụng đến một máy chủ giả mạo lưu trữ bộ sưu tập video giả mạo.

M.H

‹ › ×

Tin liên quan

TikTok đề xuất liên minh với các mạng xã hội khác để chặn nội dung độc hại

16:00 | 05/10/2020

TikTok đã đề xuất thành lập một liên minh toàn cầu giữa các công ty truyền thông xã hội để xác định sớm và loại bỏ những nội dung độc hại.

Phát hiện hình thức tấn công NAT Slipstreaming mới

13:00 | 17/02/2021

Theo nghiên cứu mới nhất của các nhà nghiên cứu trong lĩnh vực bảo mật và an toàn thông tin, một biến thể mới được phát triển từ cuộc tấn công NAT Slipstreaming có thể được sử dụng để xâm nhập và làm lộ các thiết bị trong mạng nội bộ.

Dữ liệu âm thanh của Clubhouse bị rò rỉ làm tăng lo ngại về bảo mật

13:00 | 26/02/2021

Ứng dụng phòng chat âm thanh nổi tiếng Clubhouse tuyên bố sẽ thực hiện các biện pháp để đảm bảo dữ liệu người dùng không bị đánh cắp bởi tin tặc hoặc gián điệp độc hại. Tuy nhiên, một kẻ tấn công mạng đã chứng minh rằng âm thanh thời gian thực của nền tảng Clubhouse có thể bị đánh cắp.

Rủi ro từ việc để lộ thông tin cá nhân trên mạng

18:00 | 27/01/2022

Tình trạng rò rỉ, để lộ thông tin cá nhân trên không gian mạng đang ngày càng trở nên phức tạp. Đây là mối lo chung của nhiều cơ quan chức năng cũng như người dùng.

Dữ liệu của Bkav bị hacker rao bán với giá 290.000 USD

08:00 | 11/08/2021

Ngày 04/8/2021, trên diễn đàn chuyên chia sẻ và bán thông tin bảo mật RaidForums, tài khoản @lovebkav@protonmail.com@ đăng bán công khai thông tin về mã nguồn được cho là của phần mềm BKAV. Sau đó, ngày 08/8/2021, một tài khoản mới khác có tên "chunxong" tiếp tục tung lên những tin nhắn trên nền tảng chat nội bộ của Bkav để khẳng định mình sở hữu những dữ liệu mới và rao bán gói dữ liệu của Bkav với giá 290.000 USD, tương đương 6,6 tỷ đồng.

YouTube ra mắt sản phẩm cạnh tranh với TikTok

14:00 | 18/09/2020

YouTube đang triển khai định dạng video ngắn (Shorts) để cạnh tranh với đối thủ truyền thông xã hội TikTok. Dự kiến, Shorts được kích hoạt trong nền tảng chia sẻ video.

TikTok vá lỗ hổng chiếm đoạt tài khoản nghiêm trọng

13:00 | 21/01/2020

TikTok đã phát hành bản vá cho một số lỗ hổng nghiêm trọng, có thể cho phép tin tặc chiếm đoạt tài khoản người dùng và đánh cắp dữ liệu cá nhân.

TikTok âm thầm thu thập dữ liệu sinh trắc học của người dùng

09:00 | 18/06/2021

Dịch vụ chia sẻ video dạng ngắn phổ biến TikTok đã âm thầm sửa đổi chính sách quyền riêng tư của mình ở Mỹ, cho phép tự động thu thập thông tin sinh trắc học của người dùng từ nội dung mà người dùng đăng tải trên nền tảng Tiktok.

Nga yêu cầu TikTok dừng chia sẻ nội dung quân sự cho trẻ vị thành niên

10:00 | 03/03/2022

Trong một thông báo đăng trên Telegram ngày 28/2, Cơ quan quản lý truyền thông của Nga - Roskomnadzor đã yêu cầu TikTok ngừng chia sẻ các video có nội dung về quân sự cho đối tượng người dùng là trẻ vị thành niên.

Dữ liệu người dùng TikTok Mỹ bị chia sẻ với Trung Quốc

09:00 | 30/06/2022

Trong nhiều năm, TikTok đã đáp lại những lo ngại về quyền riêng tư bằng cách cam kết thông tin thu thập được về người dùng ở Mỹ sẽ được lưu trữ ở Mỹ chứ không phải Trung Quốc - nơi đặt trụ sở của ByteDance, công ty mẹ của TikTok. Tuy nhiên, mới đây BuzzFeed đã phát hiện các bản ghi âm bị rò rỉ từ hơn 80 cuộc họp nội bộ của TikTok cho thấy, các kĩ sư làm việc tại ByteDance ở Trung Quốc có thể xem và truy cập được mọi thứ.

Tin cùng chuyên mục

Dịch vụ lừa đảo nhắm vào người dùng iPhone thông qua iMessage

10:00 | 29/03/2024

Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.

Giải mã biến thể mới của Trojan ngân hàng Mispadu khai thác lỗ hổng Windows SmartScreen

11:00 | 29/02/2024

Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.

29 họ phần mềm độc hại nhắm mục tiêu 1.800 ứng dụng ngân hàng trên toàn thế giới

14:00 | 16/01/2024

Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.

Giải mã chiến dịch Operation Blacksmith: Nhóm tin tặc Triều Tiên Lazarus sử dụng phần mềm độc hại mới dựa trên DLang

07:00 | 27/12/2023

Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.