Các chuyên gia mạng của Israel tiết lộ các lỗ hổng bảo mật nghiêm trọng ở TikTok

Tiến sĩ Luke Deshotels, một kỹ sư bảo mật tại TikTok, cho biết công ty cam kết bảo vệ dữ liệu người dùng.

Nhiều lỗ hổng trong ứng dụng chia sẻ video lan truyền TikTok có thể cho phép phơi bày thông tin cá nhân và thao túng nội dung, các chuyên gia an ninh mạng của Israel đã tiết lộ.
Các nhà nghiên cứu tại Check Point Software Technologies đã tìm thấy lỗ hổng trong ứng dụng do Trung Quốc phát triển, cực kỳ phổ biến ở trẻ em trên toàn thế giới, cho phép tin tặc thao túng tài khoản người dùng và trích xuất thông tin bao gồm ngày sinh và địa chỉ email riêng tư.

Những kẻ tấn công có thể gửi tin nhắn SMS giả mạo cho người dùng có chứa một liên kết độc hại, các nhà nghiên cứu cho biết. Khi người dùng nhấp vào liên kết, kẻ tấn công có thể kiểm soát tài khoản TikTok của họ và thao túng nội dung của họ. Những kẻ tấn công đã có thể xóa và tải lên video, đồng thời công khai các video riêng tư hoặc “ẩn”, trong một số trường hợp phơi bày những hình ảnh rất nhạy cảm.

Trang web tiếp thị của TikTok, TikTok Ads, cũng bị phát hiện là dễ bị tấn công bởi kịch bản chéo trang (XSS), trong đó các tập lệnh độc hại được đưa vào các trang web đáng tin cậy. Các nhà nghiên cứu của Check Point đã khai thác lỗ hổng để lấy thông tin cá nhân từ tài khoản người dùng, bao gồm địa chỉ email và ngày sinh.

Được phát triển bởi ByteDance có trụ sở tại Bắc Kinh, TikTok đã báo cáo vượt quá 1,5 tỷ lượt tải xuống, theo công ty phân tích ứng dụng Sensor Tower. Tại Hoa Kỳ, TikTok là ứng dụng được tải xuống nhiều thứ ba trong năm 2019 sau Facebook và Instagram.

“Dữ liệu có sức lan tỏa nhưng vi phạm dữ liệu đang trở thành một dịch bệnh và nghiên cứu mới nhất của chúng tôi cho thấy các ứng dụng phổ biến nhất vẫn có nguy cơ”, Oded Vanunu, Trưởng phòng nghiên cứu tính dễ bị tổn thương của sản phẩm Check Point cho biết.

“Các ứng dụng truyền thông xã hội được nhắm mục tiêu cao cho các lỗ hổng vì chúng cung cấp một nguồn tốt cho dữ liệu riêng tư và cung cấp một cổng tấn công tốt. Các tác nhân độc hại đang chi tiêu số tiền lớn và nỗ lực rất lớn để thâm nhập vào các ứng dụng lớn như vậy. theo giả định rằng chúng được bảo vệ bởi ứng dụng mà chúng đang sử dụng. “

Check Point đã thông báo cho các nhà phát triển tại TikTok về các lỗ hổng và một bản cập nhật đã được công ty Bắc Kinh triển khai để khắc phục lỗ hổng.

Tiến sĩ Luke Deshotels, một kỹ sư bảo mật tại TikTok, cho biết công ty cam kết bảo vệ dữ liệu người dùng.

“Giống như nhiều tổ chức, chúng tôi khuyến khích các nhà nghiên cứu bảo mật có trách nhiệm tiết lộ riêng tư các lỗ hổng zero day cho chúng tôi”, Deshotels nói. “Trước khi tiết lộ công khai, Check Point đã đồng ý rằng tất cả các vấn đề được báo cáo đã được vá trong phiên bản mới nhất của ứng dụng của chúng tôi. Chúng tôi hy vọng rằng giải pháp thành công này sẽ khuyến khích sự hợp tác trong tương lai với các nhà nghiên cứu bảo mật.”

Theo hướng dẫn từ Lầu năm góc, Quân đội Hoa Kỳ đã tham gia Hải quân trong việc cấm sử dụng Tiktok trên các thiết bị thông minh do chính phủ ban hành vào cuối tháng 12 về các vấn đề an ninh quốc gia.

Chính phủ Hoa Kỳ đã đưa ra một đánh giá an ninh quốc gia đối với nhà phát triển TikTok ByteDance Technology vào tháng 11, sau khi mua lại ứng dụng đồng bộ hóa môi của Mỹ Music.ly vào năm 2017, Reuters đưa tin.

nguồn jpost

5/5 (1 Review)