Lỗi bảo mật cho phép hacker đăng video bất kỳ lên TikTok của người khác

Dân trí Một lỗi bảo mật nghiêm trọng trên TikTok cho phép tin tặc có thể chèn video với nội dung bất kỳ lên mọi tài khoản TikTok, bao gồm cả những tài khoản chính chủ của những người và tổ chức nổi tiếng...
>>Quay video liếm toilet để thách thức corona, Tiktoker nhận kết đắng
>>“Cha đẻ” TikTok tham vọng trở thành “gã khổng lồ” giống Google, Apple

Sẽ thế nào nếu một ngày bạn truy cập vào TikTok và phát hiện ra một video nào đó được đăng lên tài khoản của mình mà bạn không hề hay biết? Đó là một video với nội dung bất kỳ, có thể là video với nội dung giả mạo hoặc nhạy cảm...

Điều này là hoàn toàn có thể xảy ra với một lỗ hổng bảo mật vừa được phát hiện trên TikTok, cho phép tin tặc có thể đăng tải video với nội dung bất kỳ lên các tài khoản TikTok, bao gồm cả tài khoản đã có tích xanh (tài khoản được xác nhận “chính chủ” của những người nổi tiếng hoặc các tổ chức, cơ quan của chính phủ hoặc quốc tế...).

Lỗi bảo mật cho phép hacker đăng video bất kỳ lên TikTok của người khác - 1

Lỗi bảo mật có thể khiến người dùng phải xem những video giả mạo hoặc nội dung không mong muốn trên TikTok

Hai nhà phát triển ứng dụng Tommy Mysk và Talal Haj Bakry là những người đã phát hiện ra lỗ hổng bảo mật này trên TikTok. Theo đó, TikTok sử dụng mạng phân phối nội dung (CDN - Content Delivery Networks) để giúp truyền tải nội dung đến người dùng của mình trên toàn cầu một cách nhanh chóng hơn.

CDN là một hệ thống máy chủ được đặt khắp nơi trên toàn cầu và có kết nối với nhau, chứa những bản sao về nội dung. Khi một người dùng truy cập vào nội dung đó, họ sẽ được kết nối với máy chủ ở gần mình nhất để giúp tải nội dung được nhanh hơn, đồng thời tránh tình trạng quá tải cho máy chủ trung tâm.

Vấn đề của TikTok ở đây đó là mạng xã hội này sử dụng giao thức HTTP để truyền dữ liệu từ CDN đến thiết bị của người dùng, tuy nhiên, giao thức HTTP lại là giao thức kém bảo mật hơn so với giao thức HTTPS và có thể bị tin tặc tấn công để thay đổi nội dung trong quá trình truyền tải dữ liệu.

“Quá trình định tuyến giữa ứng dụng TikTok và máy chủ CDN của TikTok có thể dễ dàng bị xâm nhập để xem toàn bộ video mà người dùng đã xem, download và lịch sử truy cập ứng dụng của họ”, Mysk và Bakry cho biết. “Các nhà điều hành mạng Wifi công cộng, nhà cung cấp dịch vụ mạng và cơ quan an ninh có thể dễ dàng thu thập những dữ liệu này mà không mất quá nhiều công sức”.

Vì TikTok sử dụng giao thức HTTP để truyền tải dữ liệu giữa thiết bị người dùng với máy chủ của hãng, hai nhà phát triển nhận ra rằng họ có thể sử dụng hình thức tấn công “man-in-the-middle” để lấy cắp dữ liệu trong quá trình truyền tải và hoán đổi dữ liệu mới vào.

Để chứng minh cho hình thức tấn công của mình, hai nhà phát triển ứng dụng này đã chèn những video với nội dung giả mạo về đại dịch Covid-19 vào tài khoản TikTok chính thức của Tổ chức Y tế Thế giới (WHO), với các thông tin như rửa tay quá thường xuyên có thể gây ung thư hay hút thuốc lá có thể tiêu diệt virus corona...

Quá trình thực hiện thử nghiệm vụ tấn công được hai nhà phát triển ứng dụng thực hiện trong một môi trường kín và mô phỏng TikTok, thay vì tấn công thực sự vào tài khoản TikTok của WHO, do vậy người dùng sẽ không nhìn thấy các video với nội dung giả mạo này trên TikTok.

Video giả mạo về Covid-19 được đăng tải lên tài khoản TikTok của WHO

Để thực hiện điều này, hai nhà phát triển ứng dụng đã đánh lừa TikTok và chuyển hướng kết nối của ứng dụng đến máy chủ do giả mạo do mình thiết lập, thay vì máy chủ nằm trong hệ thống CDN của TikTok. Điều này sẽ khiến người dùng TikTok xem những nội dung được gửi đến từ máy chủ của hai nhà phát triển ứng dụng này, thay vì máy chủ của TikTok, do vậy họ có thể hiển thị bất kỳ nội dung và video nào lên TikTok mà họ muốn.

May mắn rằng với hình thức tấn công này, chỉ những người dùng TikTok nào bị chuyển hướng kết nối đến máy chủ của tin tặc mới bị ảnh hưởng và những người này mới có thể thấy các video nội dung giả mạo trên TikTok. Tuy nhiên, hình thức tấn công này sẽ gây thiệt hại nặng nếu tin tặc tấn công vào một hệ thống máy chủ DNS lớn, có nhiều người sử dụng và chuyển hướng toàn bộ những người dùng này sang máy chủ giả mạo do tin tặc quản lý.

Tommy Mysk cho biết hiện chỉ có TikTok sử dụng giao thức HTTP kém bảo mật để truyền tải dữ liệu, trong khi đó các mạng xã hội lớn khác như Facebook, Instagram hay Youtube... đều sử dụng giao thức HTTPS được mã hóa.

“Tôi đã thử kiểm tra, Facebook, Instagram, Youtube, Twitter, Snapchat đều sử dụng giao thức HTTPS để truyền dữ liệu của họ”, Tommy Mysk cho biết.

Đây không phải là lần đầu tiên hai nhà phát triển ứng dụng Mysk và Bakry phát hiện “vấn đề bất thường” trên TikTok. Trước đây, họ cũng đã phát hiện thấy một lỗi trên TikTok cho phép ứng dụng này theo dõi nội dung trên clipboard (phần bộ nhớ lưu trữ các nội dung người dùng đã copy) của iPhone.

Hồi đầu năm, một lỗ hổng bảo mật nghiêm trọng được tìm thấy trên TikTok, khi hãng bảo mật Check Point cũng đã phát hiện một lỗ hổng bảo mật cho phép hacker chiếm quyền điều khiển tài khoản của mạng xã hội này. TikTok sau đó đã vá lại lỗi bảo mật này.

Hiện TikTok đang bị lọt vào tầm ngắm của chính phủ nhiều quốc gia với những lo ngại lấy cắp thông tin người dùng và gián điệp. Để lấy lòng tin của người dùng, Bytedance, “cha đẻ” của TikTok đang tìm cách để “từ bỏ gốc gác” Trung Quốc của mình bằng cách chuyển các hoạt động của công ty ra nước ngoài.

T.Thủy
Theo Mashable/Android Authority

MỚI NHẤT
Facebook xin lỗi và sửa lại quần đảo Trường Sa, Hoàng Sa là của Việt Nam
Facebook xin lỗi và sửa lại quần đảo Trường Sa, Hoàng Sa là của Việt Nam

(Dân trí) - Sau khi Cục Phát Thanh và Truyền hình (Bộ TT&TT) yêu cầu, Facebook đã sửa lại bản đồ về quần đảo Trường Sa và Hoàng Sa của Việt Nam. Facebook cũng xin lỗi tới người dùng Việt Nam vì sai sót trên.

Thứ năm, 16/04/2020 - 07:28

Lộ giá bán lẻ iPhone SE 2020 tại Việt Nam, từ 10,99 triệu đồng
Lộ giá bán lẻ iPhone SE 2020 tại Việt Nam, từ 10,99 triệu đồng

(Dân trí) - Ngay sau khi Apple giới thiệu iPhone SE phiên bản 2020, các nhà bán lẻ điện thoại tại Việt Nam đã đưa ra mức giá dự kiến cho phiên bản iPhone được xem là giá rẻ này.

Thứ năm, 16/04/2020 - 12:57

Thiết kế nhàm chán nhưng iPhone SE có thể là chiếc điện thoại tốt nhất năm
Thiết kế nhàm chán nhưng iPhone SE có thể là chiếc điện thoại tốt nhất năm

(Dân trí) - Apple được cho là sẽ thay đổi cuộc chơi trong phân khúc giá rẻ với chiếc iPhone SE 2020

Thứ năm, 16/04/2020 - 10:15

Facebook sửa lại bản đồ sai trái về Hoàng Sa, Trường Sa
Facebook sửa lại bản đồ sai trái về Hoàng Sa, Trường Sa

(Dân trí) - Sau khi phát hiện bản đồ trên Facebook tại Việt Nam đưa hai quần đảo Hoàng Sa và Trường Sa thuộc chủ quyền Việt Nam vào bản đồ Trung Quốc, cư dân mạng Việt Nam đã giúp Facebook sửa lại sai lầm này.

Thứ năm, 16/04/2020 - 09:19

“Hot girl” mạng xã hội gây sốc với dung nhan thật trên ảnh chưa xử lý
“Hot girl” mạng xã hội gây sốc với dung nhan thật trên ảnh chưa xử lý

(Dân trí) - Một “hot girl” nổi tiếng mạng xã hội đã khiến nhiều người hâm mộ sốc sau khi một bức ảnh “mộc” chưa qua xử lý được đăng lên mạng cho thấy chân dung và ngoại hình khác hẳn so với hình ảnh cô tự đăng.

Thứ năm, 16/04/2020 - 09:15

Bộ TT&TT và Bộ Y tế sẽ triển khai thí điểm mô hình khám chữa bệnh từ xa
Bộ TT&TT và Bộ Y tế sẽ triển khai thí điểm mô hình khám chữa bệnh từ xa

(Dân trí) - Bộ Y tế và Bộ TT&TT sẽ bắt tay thí điểm mô hình khám chữa bệnh từ xa, sẽ tạo nên cú hích để bùng nổ dịch vụ này trong thời gian tới.

Thứ năm, 16/04/2020 - 08:30

Apple khai tử iPhone 8 và 8 Plus
Apple khai tử iPhone 8 và 8 Plus

(Dân trí) - Đây là điều đã được dự đoán từ trước khi mà iPhone SE mới ra mắt có thiết kế gần như giống hệt iPhone 8 & 8 Plus. Mục đích của sản phẩm là nhằm thay thế 2 dòng iPhone đã cũ này.

Thứ năm, 16/04/2020 - 08:05

Apple bất ngờ trình làng iPhone SE 2020: Giống iPhone 8, giá từ 399 USD
Apple bất ngờ trình làng iPhone SE 2020: Giống iPhone 8, giá từ 399 USD

(Dân trí) - Sau nhiều tin đồn và thông tin bị rò rỉ, Apple đã chính thức trình làng phiên bản iPhone SE thế hệ mới, với nhiều điểm kế thừa từ iPhone 8 và có giá khởi điểm từ 399 USD.

Thứ năm, 16/04/2020 - 06:51

LG ra mắt điện thoại nắp gập gợi nhớ thiết kế cổ điển
LG ra mắt điện thoại nắp gập gợi nhớ thiết kế cổ điển

(Dân trí) - LG bất ngờ thu hút sự chú ý với mẫu điện thoại nắp gập có thiết kế nhỏ gọn, bàn phím cứng và màn hình không cảm ứng, nhắm tới đối tượng người dùng phổ thông.

Thứ tư, 15/04/2020 - 05:39

Tối ưu vốn đầu tư ban đầu cho các startup
Tối ưu vốn đầu tư ban đầu cho các startup

(Dân trí) - Để có được nền móng vững chắc cho việc kinh doanh của mình, các startup cần tính toán thật kỹ lưỡng từ những viên gạch đầu tiên.

Thứ tư, 15/04/2020 - 04:30

Thị trường tuyển dụng làm việc online hút khách trong dịch Covid-19
Thị trường tuyển dụng làm việc online hút khách trong dịch Covid-19

(Dân trí) - Trái ngược với không khí ảm đạm của thị trường tuyển dụng truyền thống, xu hướng tuyển dụng các công việc từ xa trong dịch Covid-19 đang thu hút được rất nhiều sự quan tâm.

Thứ tư, 15/04/2020 - 03:23

Công ty tài trợ kinh phí để nhân viên nhậu trực tuyến ở nhà trong mùa dịch
Công ty tài trợ kinh phí để nhân viên nhậu trực tuyến ở nhà trong mùa dịch

(Dân trí) - Nhiều công ty tại Nhật Bản đã tài trợ kinh phí để nhân viên nhậu... trực tuyến tại nhà nhằm gắn kết tình đồng nghiệp, trong bối cảnh các nhân viên đang phải làm việc tại nhà vì dịch bệnh.

Thứ tư, 15/04/2020 - 02:31

ĐÁNG QUAN TÂM
Smartphone màn hình 144Hz, RAM 12GB giá chỉ 649 USD
Smartphone màn hình 144Hz, RAM 12GB giá chỉ 649 USD

(Dân trí) - Được trang bị màn hình với tần số làm tươi lên đến 144Hz và chip Snapdragon 865 cao cấp nhất của Qualcomm, chiếc smartphone RedMagic 5G của ZTE có giá chỉ 649 USD.

Thứ tư, 15/04/2020 - 11:11

Bill Gates: "Cuộc sống sau Covid-19 sẽ không còn như trước"
Bill Gates: "Cuộc sống sau Covid-19 sẽ không còn như trước"

(Dân trí) - Tỷ phú Bill Gates nhận định thảm họa Covid-19 sẽ thay đổi cuộc sống chúng ta mãi mãi. Qua đó, nhiều thói quen sinh hoạt sẽ không giống như trước đây.

Thứ tư, 15/04/2020 - 10:00

Khám phá cơ chế khử khuẩn, xử lý bụi mịn trên quần áo của LG Styler
Khám phá cơ chế khử khuẩn, xử lý bụi mịn trên quần áo của LG Styler

(Dân trí) - Không chỉ chăm sóc hoàn hảo các trang phục cao cấp, LG Styler còn có khả năng khử khuẩn, xử lý bụi mịn cho áo quần nhờ công nghệ Truesteam tiên tiến nhất của hãng.

Thứ tư, 15/04/2020 - 10:00

Tại sao màn hình 90Hz là yếu tố quan trọng khi lựa chọn smartphone năm 2020?
Tại sao màn hình 90Hz là yếu tố quan trọng khi lựa chọn smartphone năm 2020?

(Dân trí) - Khi lựa chọn điện thoại, ít người dùng quan tâm tấm nền có tần số quét cao mà thay vào đó là độ phân giải, mật độ điểm ảnh. Nhưng năm 2020, màn hình 90Hz sẽ là xu hướng mà nhiều thương hiệu smartphone lựa chọn.

Thứ tư, 15/04/2020 - 09:00

Những công cụ có thể thay thế Zoom để gọi điện và hội nghị trực tuyến
Những công cụ có thể thay thế Zoom để gọi điện và hội nghị trực tuyến

(Dân trí) - Zoom từng là công cụ được rất nhiều người lựa chọn để sử dụng, tuy nhiên, với những vấn đề về bảo mật, Bộ TT&TT đã khuyến cáo người dùng không nên sử dụng để hội họp.

Thứ tư, 15/04/2020 - 08:43

Sắm ngay Realme 6 tại Thế Giới Di Động để tránh dịch bớt nhàm chán
Sắm ngay Realme 6 tại Thế Giới Di Động để tránh dịch bớt nhàm chán

(Dân trí) - Người dùng hoàn toàn có thể dễ dàng, vui vẻ vượt qua “mùa cách ly” nếu có trong tay một chiếc smartphone đủ mạnh như Realme 6 để giải quyết vấn đề làm việc ở nhà, giải trí, kết nối với “thế giới” bên ngoài hoặc tăng cường khả năng sáng tạo của bạn.

Thứ tư, 15/04/2020 - 08:00

Từ 15/4, đăng ảnh người khác lên Facebook có thể bị phạt tới 20 triệu đồng
Từ 15/4, đăng ảnh người khác lên Facebook có thể bị phạt tới 20 triệu đồng

(Dân trí) - Từ hôm nay 15/4 Nghị định 15/2020/NĐ-CP bắt đầu có hiệu lực, quy định chặt chẽ về việc sử dụng mạng xã hội. Hành vi lợi dụng mạng xã hội đưa tin sai, xuyên tạc... sẽ bị xử phạt từ 10-20 triệu đồng.

Thứ tư, 15/04/2020 - 06:58

Bộ TT&TT khuyến cáo cơ quan nhà nước không nên dùng Zoom để họp
Bộ TT&TT khuyến cáo cơ quan nhà nước không nên dùng Zoom để họp

(Dân trí) - Cục An toàn thông tin (Bộ TT&TT) vừa khuyến cáo các cơ quan, tổ chức hành chính nhà nước không nên sử dụng phần mềm Zoom để phục vụ các buổi họp trực tuyến tại đơn vị mình.

Thứ tư, 15/04/2020 - 06:53

Startup nhận gần 10 tỷ đồng đầu tư để ra mắt công việc làm từ xa thời Covid
Startup nhận gần 10 tỷ đồng đầu tư để ra mắt công việc làm từ xa thời Covid

(Dân trí) - NextTech-group và quỹ đầu tư khởi nghiệp Next100.tech công bố đầu tư gần 10 tỷ đồng vào nền tảng tuyển dụng nhân sự TopCV để ra mắt công việc làm từ xa nhằm giúp người lao động trong thời Covid.

Thứ ba, 14/04/2020 - 04:59

Lộ thiết kế iPhone mới pha trộn giữa iPad Pro, iPhone 4, iPhone 5
Lộ thiết kế iPhone mới pha trộn giữa iPad Pro, iPhone 4, iPhone 5

(Dân trí) - Phải hơn 5 tháng nữa mới đến ngày ra mắt iPhone thế hệ mới. Tuy nhiên ngay tại thời điểm hiện nay, thông tin về thiết kế của sản phẩm đã bị hé lộ, cùng một vài tính năng đáng chú ý.

Thứ ba, 14/04/2020 - 03:34

Ứng viên ngại dịch Covid-19, các trang web tuyển dụng "đóng băng"
Ứng viên ngại dịch Covid-19, các trang web tuyển dụng "đóng băng"

(Dân trí) - Dù các nhà tuyển dụng đã liên tục nghĩ ra các hình thức phỏng vấn từ xa nhưng các ứng viên đều ngại ra ngoài do dịch Covid-19 đã khiến lượt truy cập cập các trang web tìm việc đều liên tục sụt giảm.

Thứ ba, 14/04/2020 - 01:54

Ai lấy trộm hơn 4.200 khẩu trang chuyển phát từ Viettel Post?
Ai lấy trộm hơn 4.200 khẩu trang chuyển phát từ Viettel Post?

(Dân trí) - Sau khi xuất hiện vụ lùm xùm về việc việc vận chuyển khẩu trang của Viettel Post làm mất 4.250 chiếc của khách hàng, cơ quan chức năng đã vào cuộc và tìm ra 2 đối tượng thực hiện hành vi này.

Thứ ba, 14/04/2020 - 10:40