“Tin tặc có thể lợi dụng lỗ hổng để chiếm đoạt tài khoản mà người dùng không hề hay biết nếu nạn nhân nhấp vào một liên kết được thiết kế đặc biệt”, Microsoft cho biết. “Hacker sau đó sẽ có quyền truy cập và sửa đổi hồ sơ TikTok, cùng với những thông tin nhạy cảm của người dùng, chẳng hạn như công khai các video riêng tư, gửi tin nhắn hoặc tải video bằng chính tài khoản đó”.
Lỗ hổng được cho là xuất hiện trên cả 2 phiên bản của TikTok dùng trên hệ điều hành Android, một trong số đó dùng cho khu vực Đông và Đông Nam Á. Theo gã khổng lồ Internet, đến nay TikTok đã có tổng cộng hơn 1,5 tỷ lượt tải xuống.
Nền tảng chia sẻ video ngắn cho biết, lỗ hổng xuất hiện trên ứng dụng đang sử dụng phiên bản trước 23.7.3 dành cho Android. Theo đó, “một liên kết được tạo thủ công có thể điều hướng người dùng sang một trang web tuỳ ý, cho phép kẻ tấn công chiếm quyền tài khoản trên giao diện JavaScript chỉ bằng một click”.
TikTok khuyến nghị người dùng nên cập nhật phiên bản mới nhất dành cho ứng dụng trên Android để giải quyết nguy cơ từ lỗ hổng bảo mật nêu trên.
Thông tin bổ sung về lỗ hổng bảo mật cũng như cách thức nó có thể bị khai thác qua từng phiên bản phần mềm bị ảnh hưởng đã được đăng công khai trên blog của Microsoft, cũng như các diễn đàn HackerOne và GitHub.
Ngô Vinh (Theo PCMag)