Phát hiện lỗ hổng giúp hacker chiếm tài khoản trên Tiktok Android

www.tuoitre.vn -   01/09/2022 12:00:00 117

Hồi tháng 2/2022, Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng trong ứng dụng TikTok dành cho nền tảng Android. Khi khai thác thành công lỗ hổng này, hacker có thể chiếm đoạt tài khoản của nạn nhân "nhanh chóng và lặng lẽ" chỉ bằng một cú nhấp chuột. Cụ thể là nạn nhân chỉ cần nhấp vào đường link do hacker chế tạo đặc biệt là đã bị "bay nick".

Phát hiện lỗ hổng giúp hacker chiếm tài khoản trên Tiktok Android

"Những kẻ tấn công có thể đã tận dụng lỗ hổng này để chiếm đoạt tài khoản của người dùng mà họ chẳng hề hay biết bởi người dùng bị nhắm đến chỉ cần nhấp vào một liên kết được chế tạo đặc biệt", Dimitrios Valsamaras thuộc Microsoft 365 Defender Research Teams cho biết.

"Sau đó, những kẻ tấn công có thể truy cập và sửa hồ sơ TikTok của người dùng và chiếm đoạt thông tin riêng tư, công khai video riêng tư, gửi tin nhắn và tải video lên...".

Việc nhấp vào liên kết phơi bày hơn 70 phương thức JavaScript có thể bị hacker lạm dụng với sự trợ giúp của một phương thức khai thác được thiết kế để chiếm quyền điều khiển WebView của ứng dụng TikTok (một thành phần hệ thống Android được ứng dụng dễ bị tấn công sử dụng để hiển thị nội dung web).

Bằng cách sử dụng các phương thức bị phơi bày, hacker có thể truy cập hoặc sửa đổi thông tin cá nhân của người dùng TikTok hoặc thực hiện các yêu cầu HTTP đã được xác thực.

Phát hiện lỗ hổng giúp hacker chiếm tài khoản trên Tiktok Android

Nói một cách ngắn gọn, hacker đã khai thác thành công lỗ hổng này có thể dễ dàng:

Truy xuất mã xác thực của người dùng - authentication token (bằng cách kích hoạt request đến máy chủ dưới sự kiểm soát của chúng và ghi lại cookie và headers của request).

Truy xuất hoặc sửa đổi dữ liệu tài khoản TikTok của người dùng, bao gồm video riêng tư và cài đặt hồ sơ (bằng cách kích hoạt request tới một endpoint TikTok và truy xuất phản hồi qua JavaScript callback).

Lỗ hổng bảo mật mà Microsoft phát hiện ra được theo dõi dưới mã CVE-2022-28799 và đã được TikTok vá trong bản cập nhật phiên bản 23.7.3. Bản cập nhật này được tung ra trong vòng chưa đầy một tháng sau báo cáo của Microsoft.

Microsoft cho biết họ vẫn chưa tìm thấy bằng chứng nào cho thấy CVE-2022-28799 bị hacker khai thác.

Người dùng TikTok có thể tự bảo vệ khỏi các vấn đề tương tự bằng cách không nhấp vào link từ các nguồn không đáng tin cậy, luôn cập nhật ứng dụng của mình, chỉ cài đặt ứng dụng từ các nguồn chính thức và báo cáo mọi hình vi ứng dụng lạ càng sớm càng tốt.

Theo The HackerNews

TIN CÙNG CHUYÊN MỤC

Phát hiện Dell, HP, Lenovo đang dùng các...

30/11/2022 08:00:00 72
Một phân tích về hình ảnh chương trình cơ sở trên các thiết bị của Dell, HP và Lenovo đã tiết lộ sự ...

Cập nhật ngay trình duyệt Chrome để vá l...

30/11/2022 08:00:00 80
Google hôm thứ Năm đã phát hành bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day khác trong ...

Chế độ ẩn danh mới trên trình duyệt Chro...

30/11/2022 12:00:00 43
Không rõ tính năng này bắt đầu ra mắt khi nào nhưng Google chỉ kích hoạt săn nó theo mặc định cho mộ...

Hơn 300,000 thông tin Facebook bị hack q...

30/11/2022 12:00:00 38
Các ứng dụng lan truyền mã độc này được thiết kế núp bóng dưới dạng phần mềm đọc sách điện tử, với v...

Hàng triệu thiết bị Android vẫn chưa có ...

29/11/2022 08:00:00 90
Một bộ năm lỗ hổng bảo mật mức độ nghiêm trọng trung bình trong trình điều khiển GPU Mali của Arm đã...

Hàng loạt điện thoại Android dính mã độc...

29/11/2022 12:00:00 20
Đã có ít nhất 750 máy nhiễm mã độc nhưng do website chưa bị vô hiệu hóa và World Cup 2022 mới đi đượ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ