Hack tài khoản TikTok dễ dàng chỉ bằng tin nhắn SMS

Các nhà nghiên cứu an ninh mạng tại Check Point vừa phát hiện tin tặc có thể lợi dụng hệ thống SMS trên trang web ứng dụng và hack tài khoản TikTok nếu biết số điện thoại người dùng.

Trong báo cáo chia sẻ với The Hacker News, các chuyên gia của Check Point cho biết ứng dụng TikTok chứa một số lỗ hổng nguy hiểm tiềm ẩn, có thể cho phép kẻ tấn công chiếm quyền điều khiển từ xa bất kỳ tài khoản nào chỉ với số điện thoại di động của nạn nhân. Các nhà nghiên cứu nó rằng khi kết hợp nhiều lỗ hổng trên ứng dụng, họ có thể cấy mã độc từ xa, từ đó hack tài khoản TikTok của nạn nhân mà họ không hề hay biết.

Các lỗ hổng được báo cáo gồm những vấn đề có mức độ nghiêm trọng thấp, như giả mạo liên kết SMS (SMS link spoofing), chuyển hướng mở (open redirection) và lỗ hổng kịch bản chéo trang (cross-site scripting – XSS). Tin tặc có thể lợi dụng các lỗ hổng này để hack tài khoản TikTok, thực hiện những cuộc tấn công mức độ nghiêm trọng cao, bao gồm:

• Xóa mọi video khỏi hồ sơ TikTok của nạn nhân
• Tải video trái phép lên hồ sơ TikTok của nạn nhân
• Chỉnh video ẩn riêng tư thành công khai
• Tiết lộ thông tin cá nhân được lưu trên tài khoản, như địa chỉ và email…

Để hack tài khoản TikTok của nạn nhân, tin tặc sẽ lợi dụng một hệ thống SMS không an toàn được cung cấp trên trang web riêng của công ty. Hệ thống này có nhiệm vụ gửi tin nhắn chứa liên kết tải ứng dụng đến số điện thoại người dùng.

Theo các chuyên gia của Check Point, tin tặc sẽ mạo danh TikTok gửi tin nhắn SMS đến bất kỳ số điện thoại nào. Tuy nhiên, liên kết trong tin nhắn đã được sửa đổi dẫn đến một trang web độc hại, được thiết kế để thực thi mã trên thiết bị của nạn nhân và nhắm vào ứng dụng TikTok cài đặt sẵn trên máy.

Nếu kết hợp với những lỗ hổng khác như chuyển hướng mở và kịch bản chéo trang, tin tặc có thể thay người dùng thực thi mã JavaScript ngay khi họ nhấp vào liên kết độc hại được gửi từ máy chủ TikTok qua SMS.

Kỹ thuật này thường được gọi là tấn công giả mạo yêu cầu chéo trang (cross-site request forgery attack), trong đó những kẻ tấn công lừa người dùng xác thực tài khoản để thực hiện những hành vi không mong muốn.

“Vì ứng dụng TikTok thiếu cơ chế chống giả mạo yêu cầu chéo trang, nên tin tặc có thể lợi dụng điều này thực thi mã JavaScript và thay nạn nhân thực hiện bất kỳ hành vi nào mà không cần được cho phép. Chuyển hướng người dùng đến một trang web độc hại sẽ thực thi mã JavaScript và thực hiện các yêu cầu tới Tiktok bằng cookie của nạn nhân”, các chuyên gia giải thích.

Check Point đã báo cáo lỗ hổng cho ByteDance, công ty mẹ của ứng dụng TikTok, từ cuối tháng 11/2019. Ngay sao đó hãng đã phát hành bản vá cho phần mềm ứng dụng để khắc phục lỗ hổng. Các chuyên gia khuyến cáo người dùng TikTok nên nhanh chóng cập nhật phiên bản mới nhất của ứng dụng càng sớm càng tốt để tự bảo vệ mình.

Mạng xã hội TikTok nổi tiếng với những đoạn video giải trí ngắn hài hước, thu hút được nhiều người dùng, nhất là trong độ tuổi thanh thiếu niên. Năm 2019, ứng dụng này nằm trong top 3 phần mềm di động được tải xuống nhiều nhất. Tuy vậy, TikTok đang phải đối mặt với nhiều vấn đề như cách kiểm duyệt nội dung chính trị, các lưu trữ dữ liệu người dùng cùng một số nghi vấn về việc ứng dụng này gửi thông tin người dùng về Trung Quốc.

• Kaspersky nghiên cứu về nền Kinh tế Danh tiếng Kỹ thuật số khu vực APAC