Các nhà nghiên cứu của Check Point đã phát hiện ra các lỗ hổng này trong nền tảng mạng xã hội phổ biến TikTok. Trong đó, bao gồm một lỗi liên kết SMS giả mạo, ảnh hưởng đến tính năng trên trang web chính của TikTok cho phép người dùng gửi tin nhắn đến điện thoại của họ để tải ứng dụng.
Lỗ hổng này có thể cho phép tin tặc tìm ra số điện thoại của nạn nhân để gửi các liên kết độc hại tùy chỉnh. Từ đó, tin tặc có thể chiếm đoạt tài khoản, xóa video, đăng nội dung và công khai các video riêng tư.
Hãng bảo mật Check Point cũng phát hiện ra lỗ hổng chèn mã chéo trang (Cross-Site Scripting - XSS) trong tên miền phụ quảng cáo trên website chính thức của TikTok, cụ thể là trong phần trung tâm trợ giúp. Lỗ hổng này có thể cho phép tin tặc chèn mã JavaScript độc hại vào website để thu thập thông tin tài khoản cá nhân của người dùng. Lỗ hổng bị khai thác do thiếu cơ chế giả mạo yêu cầu chống chéo trang.
Trưởng bộ phận nghiên cứu lỗ hổng sản phẩm của Check Point - Oded Vanunu, giải thích: “Các ứng dụng mạng xã hội dễ bị tin tặc nhắm mục tiêu khai thác lỗ hổng vì có nhiều nguồn dữ liệu riêng tư và dễ dàng bị tấn công".
“Tin tặc đang tiêu tốn chi phí và giành nhiều nỗ lực để thâm nhập vào các ứng dụng phổ biến như vậy. Tuy nhiên, hầu hết người dùng đều cho rằng họ đã được bảo vệ bởi những ứng dụng này”, Vanunu cho biết thêm.
Công ty công nghệ ByteDance có trụ sở tại Bắc Kinh, Trung Quốc đã mua ứng dụng TikTok từ công ty Music.ly của Mỹ vào năm 2017, nhưng vì sự phổ biến của nó tại Mỹ, nên các nhà lập pháp đang ngày càng quan ngại về sự trao đổi này. Điều này tạo lên mối lo ngại về bảo mật về ứng dụng tồn tại ở Mỹ và quyền sở hữu của ứng dụng là của Trung Quốc.
Các báo cáo cho thấy, cả quân đội và hải quân Mỹ đã cấm các quân nhân sử dụng ứng dụng này trên các thiết bị do chính phủ trang cấp. Trong khi đó, Ủy ban Đầu tư Nước ngoài (CFIUS) của Mỹ đã bắt đầu một cuộc điều tra về việc liệu dữ liệu người dùng mà TikTok thu thập có được coi là rủi ro an ninh quốc gia hay không.
T.U
Theo InfoSecurity
08:00 | 02/01/2020
10:00 | 25/02/2020
11:00 | 06/01/2020
16:00 | 05/10/2020
13:00 | 04/02/2021
16:00 | 23/12/2019
14:00 | 18/09/2020
09:00 | 30/06/2022
09:00 | 12/03/2025
Theo Downdetector, trang chuyên theo dõi hoạt động của các dịch vụ Internet, mạng xã hội X bắt đầu bị gián đoạn dịch vụ vào tối 10/3 kéo dài đến 3h ngày 11/3 (giờ Việt Nam). Trên toàn cầu, có hơn 41.000 lượt báo cáo không thể truy cập vào mạng xã hội của Elon Musk. Hiện dịch vụ đã được khôi phục.
15:00 | 10/01/2025
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), gần đây, các chuyên gia bảo mật đã ghi nhận một chiến dịch tấn công nhằm vào các tiện ích mở rộng trên trình duyệt Google Chrome, dẫn tới việc ít nhất 16 tiện ích đã bị ảnh hưởng....
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
16:00 | 18/12/2024
Các nhà nghiên cứu của hãng bảo mật Cleafy (Ý) đã đưa ra cảnh báo về một loại phần mềm độc hại ngân hàng Android mới có tên là DroidBot, hiện đang nhắm mục tiêu để đánh cắp thông tin đăng nhập của hơn 77 sàn giao dịch tiền điện tử và ứng dụng ngân hàng tại Vương quốc Anh, Ý, Pháp, Tây Ban Nha và Bồ Đào Nha.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Nhóm tin tặc UNC3886 được cho là có liên quan đến Trung Quốc đã tấn công các router MX đã hết vòng đời của Juniper Networks nhằm triển khai cửa hậu tuỳ chỉnh, cho thấy khả năng xâm nhập hạ tầng mạng nội bộ.
14:00 | 21/03/2025
