Nền tảng chia sẻ video phổ biến TikTok đã thừa nhận một vấn đề bảo mật đã bị các tác nhân đe dọa khai thác để chiếm quyền kiểm soát các tài khoản cao cấp trên nền tảng này.

Sự phát triển này lần đầu tiên được báo cáo bởi Semafor và Forbes, trong đó trình bày chi tiết về chiến dịch chiếm đoạt tài khoản không cần nhấp chuột, cho phép phần mềm độc hại lan truyền qua tin nhắn trực tiếp để xâm phạm tài khoản thương hiệu và người nổi tiếng mà không cần phải nhấp hoặc tương tác với nó.

Việc khai thác đã được phát hiện là lợi dụng lỗ hổng zero-day trong thành phần nhắn tin cho phép thực thi mã độc ngay khi tin nhắn được mở.

Hiện vẫn chưa rõ có bao nhiêu người dùng bị ảnh hưởng, mặc dù người phát ngôn của TikTok cho biết công ty đã thực hiện các biện pháp phòng ngừa để ngăn chặn cuộc tấn công và ngăn nó tái diễn trong tương lai.

Công ty cho biết thêm rằng họ đang làm việc trực tiếp với các chủ tài khoản bị ảnh hưởng để khôi phục quyền truy cập và cuộc tấn công chỉ làm tổn hại đến một số lượng người dùng “rất nhỏ”. Nó không cung cấp bất kỳ thông tin cụ thể nào về bản chất của cuộc tấn công hoặc các kỹ thuật giảm nhẹ mà nó đã sử dụng.

Đây không phải là lần đầu tiên vấn đề bảo mật được phát hiện trong dịch vụ được sử dụng rộng rãi này. Vào tháng 1 năm 2021, các chuyên gia bảo mật đã nêu chi tiết một lỗ hổng trong TikTok có khả năng cho phép kẻ tấn công xây dựng cơ sở dữ liệu về người dùng ứng dụng và số điện thoại liên quan của họ cho hoạt động độc hại trong tương lai.

Sau đó, vào tháng 9 năm 2022, Microsoft đã phát hiện ra một lỗ hổng chỉ bằng một cú nhấp chuột ảnh hưởng đến ứng dụng Android của TikTok, có thể cho phép kẻ tấn công chiếm đoạt tài khoản khi nạn nhân nhấp vào một liên kết được tạo đặc biệt.

Một vấn đề khác được Imperva tiết lộ hơn một năm trước có thể cho phép kẻ tấn công giám sát hoạt động của người dùng và truy cập thông tin nhạy cảm trên cả thiết bị di động và máy tính để bàn.

Công ty lưu ý vào thời điểm đó: “Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể gửi tin nhắn độc hại đến ứng dụng web TikTok thông qua API PostMessage, bỏ qua các biện pháp bảo mật”. “Sau đó, trình xử lý sự kiện tin nhắn sẽ xử lý tin nhắn độc hại như thể đến từ một nguồn đáng tin cậy, cấp cho kẻ tấn công quyền truy cập vào thông tin nhạy cảm của người dùng.”

Đó chưa phải là tất cả. Có tới 700.000 tài khoản TikTok ở Thổ Nhĩ Kỳ bị phát hiện đã bị xâm phạm vào năm ngoái, sau khi có báo cáo cho rằng việc chuyển màu xám của tin nhắn SMS qua các kênh không an toàn đã cho phép kẻ thù chặn mật khẩu một lần và giành quyền truy cập vào tài khoản của người dùng TikTok, đồng thời tăng lượt thích và người theo dõi.

Những kẻ xấu cũng đã lợi dụng Thử thách vô hình của TikTok để phát tán phần mềm độc hại đánh cắp thông tin, nêu bật những nỗ lực không ngừng của những kẻ tấn công nhằm phát tán phần mềm độc hại thông qua các phương tiện độc đáo.

Nguồn gốc Trung Quốc của TikTok đã dẫn đến lo ngại rằng ứng dụng này có thể được sử dụng như một công cụ để thu thập thông tin nhạy cảm về người dùng Mỹ và thúc đẩy hoạt động tuyên truyền, cuối cùng dẫn đến việc thông qua luật cấm ứng dụng video ở nước này trừ khi nó được thoái vốn khỏi ByteDance .

Tháng trước, gã khổng lồ truyền thông xã hội đã đệ đơn kiện ở Hoa Kỳ để phản đối đạo luật này, nói rằng đây là một “sự xâm phạm bất thường đối với quyền tự do ngôn luận” và rằng Hoa Kỳ chỉ đưa ra “những lo ngại mang tính suy đoán” để biện minh cho lệnh cấm.

Ấn Độ, Nepal, Senegal, Somalia và Kyrgyzstan nằm trong số các quốc gia đã áp dụng lệnh cấm tương tự đối với TikTok, cùng với một số quốc gia khác, bao gồm Hoa Kỳ, Anh, Canada, Úc và New Zealand, cấm sử dụng ứng dụng này trên thiết bị của chính phủ.

TikTok vào ngày 7 tháng 6 năm 2024, xác nhận với Axios rằng họ đã sửa một lỗ hổng giúp có thể nhắm mục tiêu vào các tài khoản nổi tiếng bằng các tin nhắn có chứa phần mềm độc hại để chiếm đoạt chúng. Hiện vẫn chưa rõ có bao nhiêu tài khoản đã bị tấn công hoặc ai đứng sau vụ tấn công và mục tiêu cuối cùng của họ là gì.

Theo TheHackerNews