Các nhà nghiên cứu của Check Point đã phát hiện ra các lỗ hổng này trong nền tảng mạng xã hội phổ biến TikTok. Trong đó, bao gồm một lỗi liên kết SMS giả mạo, ảnh hưởng đến tính năng trên trang web chính của TikTok cho phép người dùng gửi tin nhắn đến điện thoại của họ để tải ứng dụng.
Lỗ hổng này có thể cho phép tin tặc tìm ra số điện thoại của nạn nhân để gửi các liên kết độc hại tùy chỉnh. Từ đó, tin tặc có thể chiếm đoạt tài khoản, xóa video, đăng nội dung và công khai các video riêng tư.
Hãng bảo mật Check Point cũng phát hiện ra lỗ hổng chèn mã chéo trang (Cross-Site Scripting - XSS) trong tên miền phụ quảng cáo trên website chính thức của TikTok, cụ thể là trong phần trung tâm trợ giúp. Lỗ hổng này có thể cho phép tin tặc chèn mã JavaScript độc hại vào website để thu thập thông tin tài khoản cá nhân của người dùng. Lỗ hổng bị khai thác do thiếu cơ chế giả mạo yêu cầu chống chéo trang.
Trưởng bộ phận nghiên cứu lỗ hổng sản phẩm của Check Point - Oded Vanunu, giải thích: “Các ứng dụng mạng xã hội dễ bị tin tặc nhắm mục tiêu khai thác lỗ hổng vì có nhiều nguồn dữ liệu riêng tư và dễ dàng bị tấn công".
“Tin tặc đang tiêu tốn chi phí và giành nhiều nỗ lực để thâm nhập vào các ứng dụng phổ biến như vậy. Tuy nhiên, hầu hết người dùng đều cho rằng họ đã được bảo vệ bởi những ứng dụng này”, Vanunu cho biết thêm.
Công ty công nghệ ByteDance có trụ sở tại Bắc Kinh, Trung Quốc đã mua ứng dụng TikTok từ công ty Music.ly của Mỹ vào năm 2017, nhưng vì sự phổ biến của nó tại Mỹ, nên các nhà lập pháp đang ngày càng quan ngại về sự trao đổi này. Điều này tạo lên mối lo ngại về bảo mật về ứng dụng tồn tại ở Mỹ và quyền sở hữu của ứng dụng là của Trung Quốc.
Các báo cáo cho thấy, cả quân đội và hải quân Mỹ đã cấm các quân nhân sử dụng ứng dụng này trên các thiết bị do chính phủ trang cấp. Trong khi đó, Ủy ban Đầu tư Nước ngoài (CFIUS) của Mỹ đã bắt đầu một cuộc điều tra về việc liệu dữ liệu người dùng mà TikTok thu thập có được coi là rủi ro an ninh quốc gia hay không.
T.U
Theo InfoSecurity
08:00 | 02/01/2020
10:00 | 25/02/2020
11:00 | 06/01/2020
16:00 | 05/10/2020
13:00 | 04/02/2021
16:00 | 23/12/2019
14:00 | 18/09/2020
09:00 | 30/06/2022
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
14:00 | 29/11/2023
Ngày 28/11, DP World Australia - một trong những nhà điều hành cảng biển lớn nhất của Australia cho biết, tin tặc đã xâm nhập nhiều tập tin chứa thông tin cá nhân chi tiết của các nhân viên.
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024