Lỗ hổng trên TikTok có thể làm rò rỉ dữ liệu cá nhân và số điện thoại của người dùng

www.tuoitre.vn -   26/01/2021 10:00:00 830

Các nhà nghiên cứu an ninh mạng hôm thứ Ba đã tiết lộ một lỗ hổng bảo mật hiện đã được vá trong TikTok có khả năng cho phép kẻ tấn công xây dựng cơ sở dữ liệu về người dùng ứng dụng và số điện thoại liên quan của họ cho các hoạt động độc hại trong tương lai.

Lỗ hổng trên TikTok có thể làm rò rỉ dữ liệu cá nhân và số điện thoại của người dùng

Mặc dù lỗ hổng này chỉ ảnh hưởng đến những người dùng đã liên kết số điện thoại với tài khoản của họ hoặc đăng nhập bằng số điện thoại, nhưng việc khai thác thành công lỗ hổng có thể dẫn đến rò rỉ dữ liệu và vi phạm quyền riêng tư, Check Point cho biết trong một phân tích được chia sẻ với The Tin tặc.

TikTok đã triển khai một bản sửa lỗi để giải quyết thiếu sót sau tiết lộ từ nhà nghiên cứu của Check Point.

Lỗi mới được phát hiện nằm trong tính năng "Tìm bạn" của TikTok cho phép người dùng đồng bộ danh bạ của họ với dịch vụ để xác định những người tiềm năng theo dõi.

Các liên hệ được tải lên TikTok thông qua một yêu cầu HTTP dưới dạng một danh sách bao gồm tên liên hệ được băm và số điện thoại tương ứng.

Trong bước tiếp theo, ứng dụng sẽ gửi một yêu cầu HTTP thứ hai để truy xuất các cấu hình TikTok được kết nối với các số điện thoại được gửi trong yêu cầu trước đó. Phản hồi này bao gồm tên hồ sơ, số điện thoại, ảnh và thông tin liên quan đến hồ sơ khác.

Mặc dù các yêu cầu liên hệ tải lên và đồng bộ hóa được giới hạn ở 500 địa chỉ liên hệ mỗi ngày, trên mỗi người dùng và trên mỗi thiết bị, các nhà nghiên cứu của Check Point đã tìm ra cách để vượt qua giới hạn bằng cách nắm giữ mã nhận dạng thiết bị, cookie phiên do máy chủ đặt, một mã thông báo có tên "X-Tt-Token" được đặt khi đăng nhập vào tài khoản bằng SMS và mô phỏng toàn bộ quá trình từ trình giả lập chạy Android 6.0.1.

Cần lưu ý rằng để yêu cầu dữ liệu từ máy chủ ứng dụng TikTok, các yêu cầu HTTP phải bao gồm tiêu đề X-Gorgon và X-Khronos để xác minh máy chủ, điều này đảm bảo rằng các thư không bị giả mạo.

Nhưng bằng cách sửa đổi các yêu cầu HTTP - số lượng địa chỉ liên hệ mà kẻ tấn công muốn đồng bộ hóa - và ký lại chúng bằng chữ ký tin nhắn cập nhật, lỗ hổng đã làm cho nó có thể tự động hóa quy trình tải lên và đồng bộ hóa địa chỉ liên hệ trên quy mô lớn và tạo cơ sở dữ liệu tài khoản được liên kết và số điện thoại được kết nối của họ.

Đây là lần đầu tiên ứng dụng chia sẻ video phổ biến bị phát hiện có chứa các điểm yếu về bảo mật.

Vào tháng 1 năm 2020, các nhà nghiên cứu của Check Point đã phát hiện ra nhiều lỗ hổng trong ứng dụng TikTok có thể bị khai thác để chiếm tài khoản người dùng và thao túng nội dung của họ, bao gồm xóa video, tải lên video trái phép, đặt video "ẩn" ở chế độ công khai và tiết lộ thông tin cá nhân được lưu trên tài khoản.

Sau đó vào tháng 4, các nhà nghiên cứu bảo mật Talal Haj Bakry và Tommy Mysk đã chỉ ra các lỗ hổng trong TikTok khiến những kẻ tấn công có thể hiển thị các video giả mạo, bao gồm cả những video từ các tài khoản đã được xác minh, bằng cách chuyển hướng ứng dụng đến một máy chủ giả mạo lưu trữ một bộ sưu tập các video giả mạo.

 

Cuối cùng, TikTok đã khởi động quan hệ đối tác tiền thưởng lỗi với HackerOne vào tháng 10 năm ngoái để giúp người dùng hoặc các chuyên gia bảo mật gắn cờ các mối quan tâm kỹ thuật với nền tảng này. Theo chương trình, các lỗ hổng nghiêm trọng (điểm CVSS 9 - 10) đủ điều kiện để nhận các khoản thanh toán từ $ 6.900 đến $ 14.800.

Oded Vanunu, người đứng đầu bộ phận nghiên cứu lỗ hổng sản phẩm tại Check Point cho biết: “Động lực chính của chúng tôi lần này là khám phá sự riêng tư của TikTok. "Chúng tôi rất tò mò liệu nền tảng TikTok có thể được sử dụng để lấy dữ liệu người dùng riêng tư hay không. Hóa ra câu trả lời là có, vì chúng tôi có thể bỏ qua nhiều cơ chế bảo vệ của TikTok dẫn đến vi phạm quyền riêng tư."

"Kẻ tấn công với mức độ thông tin nhạy cảm đó có thể thực hiện một loạt các hoạt động độc hại, chẳng hạn như lừa đảo trực tuyến hoặc các hành động tội phạm khác."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky tiết lộ các hoạt động trên thị...

30/09/2022 08:00:00 103
Theo báo cáo Digital Footprint Intelligence (DFI) từ Kaspersky, 95% quảng cáo trong khu vực khu vực ...

Bản cập nhật Windows 11 22H2 gây màn hìn...

30/09/2022 12:00:00 70
Microsoft khuyến nghị người dùng các máy tính bị ảnh hưởng không nên cập nhật Windows 11 22H2 bằng c...

Cảnh báo lỗ hỗng Zeroday trên Microsoft ...

29/09/2022 08:00:00 98
Các nhà nghiên cứu bảo mật đang cảnh báo về các lỗ hổng chưa được tiết lộ trước đây trong các máy ch...

Phát hiện mã độc đội lốt phần mềm crack ...

29/09/2022 12:00:00 58
Mã độc này cũng cố lấy cắp dữ liệu từ một loạt các ví tiền điện tử có tùy chọn cài đặt trong trình d...

Lỗi WhatsApp nghiêm trọng có thể cho phé...

28/09/2022 08:00:00 70
WhatsApp đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng trong ứng dụng nhắn tin dành ch...

Chỉ cần di chuột qua PowerPoint cũng có ...

28/09/2022 08:00:00 67
Tác nhân đe dọa do nhà nước Nga bảo trợ được gọi là APT28 đã được phát hiện sử dụng một phương pháp ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ