Các nhà nghiên cứu an ninh mạng hôm thứ Ba vừa qua đã tiết lộ một lỗ hổng bảo mật (hiện đã được vá) trên TikTok có khả năng cho phép hacker xây dựng cơ sở dữ liệu về người dùng ứng dụng và số điện thoại liên quan của họ cho các hoạt động lừa đảo trong tương lai.
Mặc dù lỗ hổng này chỉ ảnh hưởng đến những người dùng đã liên kết số điện thoại với tài khoản của họ hoặc đăng nhập bằng số điện thoại, nhưng việc khai thác thành công lỗ hổng này có thể dẫn đến rò rỉ dữ liệu và vi phạm quyền riêng tư. TikTok đã triển khai một bản sửa lỗi để giải quyết lỗ hổng này.
Lỗi này được phát hiện nằm trong tính năng Find friends của TikTok cho phép người dùng đồng bộ danh bạ của họ với dịch vụ để xác định những người có thể theo dõi. Các liên hệ được tải lên TikTok một danh sách bao gồm tên liên hệ và số điện thoại tương ứng thông qua giao thức HTTP thiếu an toàn.
Bước tiếp theo, ứng dụng sẽ gửi một yêu cầu qua giao thức HTTP thứ hai để truy xuất các cấu hình TikTok được kết nối với các số điện thoại được gửi trong yêu cầu trước đó. Phản hồi này bao gồm tên hồ sơ, số điện thoại, ảnh và thông tin liên quan đến hồ sơ khác.
Mặc dù các yêu cầu liên hệ tải lên và đồng bộ hóa được giới hạn ở 500 địa chỉ liên hệ mỗi ngày, trên mỗi người dùng và trên mỗi thiết bị, các nhà nghiên cứu đã tìm ra cách để vượt qua giới hạn này bằng cách giữ mã nhận dạng thiết bị, cookie phiên do máy chủ đặt, một mã thông báo có tên “X-Tt-Token” được đặt khi đăng nhập vào tài khoản bằng SMS và mô phỏng toàn bộ quá trình từ trình giả lập chạy Android 6.0.1.
Đây không phải là lần đầu tiên ứng dụng chia sẻ video phổ biến bị phát hiện có chứa các điểm yếu về bảo mật. Vào tháng 1 năm 2020, các nhà nghiên cứu của Check Point đã phát hiện ra nhiều lỗ hổng trong ứng dụng TikTok có thể bị khai thác để chiếm tài khoản người dùng và thao túng nội dung của họ, bao gồm xóa video, tải lên video trái phép, đặt video “ẩn” ở chế độ công khai và tiết lộ thông tin cá nhân được lưu trên tài khoản.
Sau đó vào tháng 4, các nhà nghiên cứu bảo mật Talal Haj Bakry và Tommy Mysk đã chỉ ra các lỗ hổng trong TikTok khiến những kẻ tấn công có thể hiển thị các video giả mạo, bao gồm cả những video từ các tài khoản đã được xác minh, bằng cách chuyển hướng ứng dụng đến một máy chủ giả mạo lưu trữ một bộ sưu tập các video giả mạo.