Hồi tháng 2/2022, Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng trong ứng dụng TikTok dành cho nền tảng Android. Khi khai thác thành công lỗ hổng này, hacker có thể chiếm đoạt tài khoản của nạn nhân "nhanh chóng và lặng lẽ" chỉ bằng một cú nhấp chuột. Cụ thể là nạn nhân chỉ cần nhấp vào đường link do hacker chế tạo đặc biệt là đã bị "bay nick".
Microsoft đã ngay lập tức thông báo cho TikTok về lỗ hổng này.
"Những kẻ tấn công có thể đã tận dụng lỗ hổng này để chiếm đoạt tài khoản của người dùng mà họ chẳng hề hay biết bởi người dùng bị nhắm đến chỉ cần nhấp vào một liên kết được chế tạo đặc biệt", Dimitrios Valsamaras thuộc Microsoft 365 Defender Research Teams cho biết.
"Sau đó, những kẻ tấn công có thể truy cập và sửa hồ sơ TikTok của người dùng và chiếm đoạt thông tin riêng tư, công khai video riêng tư, gửi tin nhắn và tải video lên...".
Việc nhấp vào liên kết phơi bày hơn 70 phương thức JavaScript có thể bị hacker lạm dụng với sự trợ giúp của một phương thức khai thác được thiết kế để chiếm quyền điều khiển WebView của ứng dụng TikTok (một thành phần hệ thống Android được ứng dụng dễ bị tấn công sử dụng để hiển thị nội dung web).
Bằng cách sử dụng các phương thức bị phơi bày, hacker có thể truy cập hoặc sửa đổi thông tin cá nhân của người dùng TikTok hoặc thực hiện các yêu cầu HTTP đã được xác thực.
Nói một cách ngắn gọn, hacker đã khai thác thành công lỗ hổng này có thể dễ dàng:
- Truy xuất mã xác thực của người dùng - authentication token (bằng cách kích hoạt request đến máy chủ dưới sự kiểm soát của chúng và ghi lại cookie và headers của request).
- Truy xuất hoặc sửa đổi dữ liệu tài khoản TikTok của người dùng, bao gồm video riêng tư và cài đặt hồ sơ (bằng cách kích hoạt request tới một endpoint TikTok và truy xuất phản hồi qua JavaScript callback).
Lỗ hổng đã được vá, không bị khai thác
Lỗ hổng bảo mật mà Microsoft phát hiện ra được theo dõi dưới mã CVE-2022-28799 và đã được TikTok vá trong bản cập nhật phiên bản 23.7.3. Bản cập nhật này được tung ra trong vòng chưa đầy một tháng sau báo cáo của Microsoft.
Microsoft cho biết họ vẫn chưa tìm thấy bằng chứng nào cho thấy CVE-2022-28799 bị hacker khai thác.
Người dùng TikTok có thể tự bảo vệ khỏi các vấn đề tương tự bằng cách không nhấp vào link từ các nguồn không đáng tin cậy, luôn cập nhật ứng dụng của mình, chỉ cài đặt ứng dụng từ các nguồn chính thức và báo cáo mọi hình vi ứng dụng lạ càng sớm càng tốt.