TikTok dính lỗi cho phép hacker đánh cắp thông tin riêng tư của người dùng, chuyên gia nói gì?

Thế giới số - Ngày đăng : 22:13, 26/01/2021

ByteDance, Tập đoàn công nghệ Trung Quốc đứng sau TikTok, đã xử lý lỗ hổng bảo mật trong ứng dụng chia sẻ video ngắn có thể cho phép những kẻ tấn công đánh cắp thông tin cá nhân riêng tư của người dùng.

TikTok có máy chủ ở các quốc gia nơi các ứng dụng iOS và Android hoạt động, được sử dụng để chia sẻ video dạng ngắn từ 3 đến 60 giây. Ứng dụng Android của TikTok có hơn 1 tỉ lượt cài đặt theo số liệu thống kê của Google Play Store. TikTok đã vượt mốc 2 tỉ lượt tải xuống trên tất cả các nền tảng di động vào tháng 4.2020 theo số liệu thống kê của Sensor Tower Store Intelligence.

Dữ liệu cá nhân của người dùng có thể bị đánh cắp

Lỗ hổng bảo mật được các nhà nghiên cứu từ công ty an ninh mạng Check Point (Israel) tìm thấy trong chức năng Find friends (Tìm bạn) của TikTok cho phép những kẻ tấn công vượt qua các biện pháp bảo vệ quyền riêng tư của nền tảng để truy cập vào thông tin cá nhân riêng tư của người dùng.

"Chi tiết hồ sơ có thể truy cập thông qua lỗ hổng bảo mật gồm số điện thoại, biệt hiệu, ảnh hồ sơ và ảnh đại diện, ID người dùng duy nhất cũng như một số cài đặt hồ sơ nhất định, chẳng hạn như liệu người dùng có phải là follower hay hồ sơ của người dùng bị ẩn", Check Point nói.

Thông tin người dùng thu thập trong các cuộc tấn công từ việc khai thác lỗ hổng TikTok này sau đó có thể được sử dụng để khởi động các cuộc lừa đảo trực tuyến và các loại hoạt động độc hại khác.

Để khai thác lỗi này và vượt qua các biện pháp bảo vệ quyền riêng tư của TikTok, những kẻ tấn công sẽ phải:

1. Tạo danh sách các thiết bị (ID thiết bị) sẽ được sử dụng để truy vấn máy chủ của TikTok.

2. Tạo danh sách mã thông báo phiên (mỗi mã thông báo phiên có giá trị trong 60 ngày) sẽ được sử dụng để truy vấn máy chủ của TikTok.

3. Bỏ qua cơ chế ký thông báo HTTP của TikTok bằng cách sử dụng dịch vụ ký của riêng, được thực thi trong nền.

4. Xâu chuỗi tất cả lại với nhau bằng cách sửa đổi các yêu cầu HTTP, ký tên lại chúng rồi sử dụng các mã thông báo phiên và ID thiết bị khác nhau để vượt qua các cơ chế bảo vệ của TikTok.

Lỗ hổng bảo mật đã được khắc phục

ByteDance đã xử lý lỗ hổng bảo mật TikTok sau tiết lộ từ Check Point, ngăn chặn những nỗ lực trong tương lai nhằm phá vỡ các biện pháp bảo vệ quyền riêng tư của nền tảng và đánh cắp dữ liệu cá nhân người dùng.

"Kẻ tấn công với mức độ thông tin nhạy cảm đó có thể thực hiện một loạt các hoạt động độc hại, chẳng hạn như lừa đảo trực tuyến hoặc các hành động tội phạm khác. Thông điệp của chúng tôi tới người dùng TikTok là chia sẻ ở mức tối thiểu dữ liệu cá nhân của bạn", Oded Vanunu, Trưởng bộ phận Nghiên cứu Lỗ hổng Sản phẩm của Check Point, cho biết.

tiktok-dinh-loi-cho-phep-hacker-danh-cap-thong-tin-nguoi-dung-chuyen-gia-noi-gi.jpg
TikTok đã sửa lỗi bảo mật để ngăn hacker đánh cắp thông tin riêng tư của người dùng

"Bảo mật và quyền riêng tư của cộng đồng TikTok là ưu tiên cao nhất của chúng tôi. Chúng tôi đánh giá cao công việc của các đối tác đáng tin cậy như Check Point trong việc xác định các vấn đề tiềm ẩn để có thể giải quyết trước khi chúng ảnh hưởng đến người dùng. Chúng tôi tiếp tục tăng cường khả năng phòng thủ của mình, bằng cách liên tục nâng cấp năng lực nội bộ của mình như đầu tư vào hệ thống phòng thủ tự động hóa và cũng bằng cách làm việc với các bên thứ ba", người phát ngôn của TikTok tuyên bố.

Các lỗ hổng TikTok được vá trước đây

Vào tháng 1.2020, TikTok đã xử lý một loạt lỗ hổng bảo mật khác trong cơ sở hạ tầng do các nhà nghiên cứu của Check Point tiết lộ cuối tháng 11.2019. Những lỗ hổng đó cho phép kẻ tấn công chiếm đoạt tài khoản, thao túng video của người dùng và lấy cắp thông tin của họ.

Khai thác các lỗ hổng đó, những kẻ tấn công có thể tận dụng hệ thống SMS của TikTok để xóa video, đặt video riêng tư của người dùng thành chế độ công khai và đánh cắp dữ liệu cá nhân nhạy cảm của họ.

TikTok cũng sửa hai lỗi bảo mật vào tháng 11.2020 có thể cho phép hacker chiếm đoạt tài khoản người dùng đã đăng ký thông qua ứng dụng của bên thứ ba chỉ bằng một cú nhấp chuột.

Tháng 4.2020, TikTok đã ra mắt chương trình tiền thưởng để tìm lỗi riêng tư. Chương trình HackerOne Bug Bounty Program vào tháng 10.2020 khuyến khích các nhà nghiên cứu bảo mật tiết lộ một cách có trách nhiệm bất kỳ lỗi bảo mật nào mà họ tìm thấy trong ứng dụng web và di động của TikTok để nhận phần thưởng từ 50 USD – 14.800 USD tùy mức độ nghiêm trọng.

Nhân Hoàng