TikTok vá lỗ hổng chiếm đoạt tài khoản nghiêm trọng

13:00 | 21/01/2020 | LỖ HỔNG ATTT

TikTok đã phát hành bản vá cho một số lỗ hổng nghiêm trọng, có thể cho phép tin tặc chiếm đoạt tài khoản người dùng và đánh cắp dữ liệu cá nhân.

TikTok vá lỗ hổng chiếm đoạt tài khoản nghiêm trọng

Các nhà nghiên cứu của Check Point đã phát hiện ra các lỗ hổng này trong nền tảng mạng xã hội phổ biến TikTok. Trong đó, bao gồm một lỗi liên kết SMS giả mạo, ảnh hưởng đến tính năng trên trang web chính của TikTok cho phép người dùng gửi tin nhắn đến điện thoại của họ để tải ứng dụng.

Lỗ hổng này có thể cho phép tin tặc tìm ra số điện thoại của nạn nhân để gửi các liên kết độc hại tùy chỉnh. Từ đó, tin tặc có thể chiếm đoạt tài khoản, xóa video, đăng nội dung và công khai các video riêng tư.

Hãng bảo mật Check Point cũng phát hiện ra lỗ hổng chèn mã chéo trang (Cross-Site Scripting - XSS) trong tên miền phụ quảng cáo trên website chính thức của TikTok, cụ thể là trong phần trung tâm trợ giúp. Lỗ hổng này có thể cho phép tin tặc chèn mã JavaScript độc hại vào website để thu thập thông tin tài khoản cá nhân của người dùng. Lỗ hổng bị khai thác do thiếu cơ chế giả mạo yêu cầu chống chéo trang.

Trưởng bộ phận nghiên cứu lỗ hổng sản phẩm của Check Point - Oded Vanunu, giải thích: “Các ứng dụng mạng xã hội dễ bị tin tặc nhắm mục tiêu khai thác lỗ hổng vì có nhiều nguồn dữ liệu riêng tư và dễ dàng bị tấn công".

“Tin tặc đang tiêu tốn chi phí và giành nhiều nỗ lực để thâm nhập vào các ứng dụng phổ biến như vậy. Tuy nhiên, hầu hết người dùng đều cho rằng họ đã được bảo vệ bởi những ứng dụng này”, Vanunu cho biết thêm.

Công ty công nghệ ByteDance có trụ sở tại Bắc Kinh, Trung Quốc đã mua ứng dụng TikTok từ công ty Music.ly của Mỹ vào năm 2017, nhưng vì sự phổ biến của nó tại Mỹ, nên các nhà lập pháp đang ngày càng quan ngại về sự trao đổi này. Điều này tạo lên mối lo ngại về bảo mật về ứng dụng tồn tại ở Mỹ và quyền sở hữu của ứng dụng là của Trung Quốc.

Các báo cáo cho thấy, cả quân đội và hải quân Mỹ đã cấm các quân nhân sử dụng ứng dụng này trên các thiết bị do chính phủ trang cấp. Trong khi đó, Ủy ban Đầu tư Nước ngoài (CFIUS) của Mỹ đã bắt đầu một cuộc điều tra về việc liệu dữ liệu người dùng mà TikTok thu thập có được coi là rủi ro an ninh quốc gia hay không.

T.U

Theo InfoSecurity

‹ › ×

Tin liên quan

Thiết bị bảo mật Cisco bị khai thác thông qua lỗ hổng cũ

08:00 | 02/01/2020

Một lỗ hổng nghiêm trọng (đã được phát hiện và vá thành công vào giữa năm 2018) đã xuất hiện trở lại trên các thiết bị Adaptive Security (ASA) và Firepower của Cisco, tạo điều kiện cho tin tặc triển khai các cuộc tấn công DoS.

Uber tạm thời khoá 240 tài khoản tại Mexico vì virus Corona

10:00 | 25/02/2020

Sở y tế của Thành phố Mexico đã thông báo cho Uber rằng, hai tài xế của Uber tại đây có thể đã bị nhiễm virus Corona.

54 lỗ hổng của Siemens cho phép tin tặc kiểm soát nhà máy điện

11:00 | 06/01/2020

Các hệ thống điều khiển công nghiệp của Tập đoàn công nghệ điện và điện tử toàn cầu Siemens được thiết kế dành riêng cho thiết bị của nhà máy điện, bị phát hiện có rất nhiều lỗ hổng bảo mật. Tuy nhiên, các lỗ hổng này khó có thể bị khai thác từ bên ngoài.

TikTok đề xuất liên minh với các mạng xã hội khác để chặn nội dung độc hại

16:00 | 05/10/2020

TikTok đã đề xuất thành lập một liên minh toàn cầu giữa các công ty truyền thông xã hội để xác định sớm và loại bỏ những nội dung độc hại.

Lỗ hổng trong Tiktok làm rò rỉ thông tin riêng tư người dùng

13:00 | 04/02/2021

Các nhà nghiên cứu bảo mật của Check Point vừa tiết lộ một lỗ hổng bảo mật trong TikTok, nếu khai thác thành công sẽ cho phép kẻ tấn công truy vấn vào hồ sơ chi tiết của người dùng, dẫn đến các vi phạm về quyền riêng tư.

Tác động của cặp lỗ hổng Spectre - Meltdown tới công tác phát triển phần mềm

16:00 | 23/12/2019

Meltdown và Spectre đã được công bố cách đây gần một năm nhưng các nhà nghiên cứu bảo mật vẫn tiếp tục xem xét tác động của chúng và tìm cách đối phó.

YouTube ra mắt sản phẩm cạnh tranh với TikTok

14:00 | 18/09/2020

YouTube đang triển khai định dạng video ngắn (Shorts) để cạnh tranh với đối thủ truyền thông xã hội TikTok. Dự kiến, Shorts được kích hoạt trong nền tảng chia sẻ video.

Dữ liệu người dùng TikTok Mỹ bị chia sẻ với Trung Quốc

09:00 | 30/06/2022

Trong nhiều năm, TikTok đã đáp lại những lo ngại về quyền riêng tư bằng cách cam kết thông tin thu thập được về người dùng ở Mỹ sẽ được lưu trữ ở Mỹ chứ không phải Trung Quốc - nơi đặt trụ sở của ByteDance, công ty mẹ của TikTok. Tuy nhiên, mới đây BuzzFeed đã phát hiện các bản ghi âm bị rò rỉ từ hơn 80 cuộc họp nội bộ của TikTok cho thấy, các kĩ sư làm việc tại ByteDance ở Trung Quốc có thể xem và truy cập được mọi thứ.

Tin cùng chuyên mục

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.

Giải mã biến thể mới của phần mềm độc hại Bandook

09:00 | 29/01/2024

Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.

Khám phá Trojan mới của BlueNoroff với mục tiêu tấn công người dùng macOS

17:00 | 22/12/2023

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.

Giải mã phần mềm độc hại SugarGh0st RAT mới nhắm vào Chính phủ Uzbekistan và người dùng tại Hàn Quốc

12:00 | 15/12/2023

Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.