Lỗ hổng này ảnh hưởng đến 2 phiên bản ứng dụng TikTok (với hơn 1,5 tỉ lượt cài đặt) dành cho người dùng Đông Nam Á và các quốc gia khác. Hiện tại, TikTok đă khắc phục được vấn đề. Do đó, việc bạn cần làm là cập nhật ứng dụng lên phiên bản mới nhất thông qua Google Play.
Nhà nghiên cứu Dimitrios Valsamaras (thuộc nhóm nghiên cứu Microsoft 365 Defender) cho biết: “Những kẻ tấn công có thể đă tận dụng lỗ hổng để chiếm đoạt tài khoản mà người dùng không hề hay biết khi họ nhấp vào một liên kết được thiết kế đặc biệt”.
Việc khai thác thành công lỗ hổng cho phép kẻ xấu truy cập, sửa đổi hồ sơ TikTok và các thông tin nhạy cảm, dẫn đến việc người dùng bị lộ các video riêng tư. Bên cạnh đó, tin tặc c̣n có thể sử dụng tài khoản của bạn để gửi tin nhắn, đăng tải video có nội dung không phù hợp…
Lỗ hổng có tên mă là CVE-2022-28799 (CVSS: 8,8 điểm), liên quan đến việc ứng dụng xử lư thứ được gọi là deeplink, một siêu liên kết đặc biệt cho phép TikTok mở một tài nguyên cụ thể trong một ứng dụng khác được cài đặt trên thiết bị.
Nói một cách đơn giản, lỗ hổng này có thể tải bất kỳ trang web nào mà kẻ tấn công lựa chọn thông qua Android System WebView, một cơ chế để hiển thị nội dung web trên các ứng dụng khác.
“Từ góc độ lập tŕnh, việc sử dụng JavaScript Interfaces tiềm ẩn những rủi ro đáng kể. Một khi bị xâm phạm, kẻ tấn công có thể thực thi mă bằng cách sử dụng ID và đặc quyền của ứng dụng”, Microsoft lưu ư.
Trước đó không lâu, nhà nghiên cứu bảo mật Felix Krause đă phát hiện tŕnh duyệt tích hợp trên TikTok (iOS) có khả năng giám sát tất cả thao tác nhập và nhấn bàn phím của người dùng.
Krause nói rằng tŕnh duyệt trên TikTok có khả năng thu thập các chi tiết nhạy cảm bao gồm mật khẩu, thông tin thẻ tín dụng… khi người dùng tương tác với một trang web bất ḱ. Tuy nhiên, TikTok đă bác bỏ cáo buộc kể trên.
"Từ góc độ kỹ thuật, điều này tương đương với việc cài đặt keylogger trên các trang web của bên thứ ba", Krause viết về mă JavaScript mà TikTok đưa vào. Tuy nhiên, nhà nghiên cứu cũng lưu ư rằng không phải ứng dụng nào bổ sung thêm JavaScript cũng đều độc hại.
"Giống như các nền tảng khác, chúng tôi sử dụng tŕnh duyệt trong ứng dụng để cung cấp trải nghiệm người dùng tối ưu, nhưng mă JavaScript được đề cập chỉ được sử dụng để gỡ lỗi, khắc phục sự cố và theo dơi hiệu suất của trải nghiệm đó, như kiểm tra tốc độ tải của một trang hoặc xem nó có bị treo không", một phát ngôn viên của TikTok chia sẻ với Forbes.