Liên kết hữu ích
Tin mới
- Bạn đọc gửi câu chuyện thật của bản thân hoặc người mình biết nếu được cho phép, không sáng tác hoặc lấy từ nguồn khác và hoàn toàn chịu trách nhiệm trước pháp luật về bản quyền của mình.
- Nội dung về các vấn đề gia đình: vợ chồng, con cái, mẹ chồng-nàng dâu... TTOL bảo mật thông tin, biên tập nội dung nếu cần.
- Bạn được: độc giả hoặc chuyên gia lắng nghe, tư vấn, tháo gỡ.
- Mục này không có nhuận bút.
Lỗi bảo mật cho phép hacker đăng video bất kỳ lên TikTok của người khác
Thứ năm, 16/04/2020 10:11
Một lỗi bảo mật nghiêm trọng trên TikTok cho phép tin tặc có thể chèn video với nội dung bất kỳ lên mọi tài khoản TikTok, bao gồm cả những tài khoản chính chủ của những người và tổ chức nổi tiếng...
Sẽ thế nào nếu một ngày bạn truy cập vào TikTok và phát hiện ra một video nào đó được đăng lên tài khoản của mình mà bạn không hề hay biết? Đó là một video với nội dung bất kỳ, có thể là video với nội dung giả mạo hoặc nhạy cảm...
Điều này là hoàn toàn có thể xảy ra với một lỗ hổng bảo mật vừa được phát hiện trên TikTok, cho phép tin tặc có thể đăng tải video với nội dung bất kỳ lên các tài khoản TikTok, bao gồm cả tài khoản đã có tích xanh (tài khoản được xác nhận “chính chủ” của những người nổi tiếng hoặc các tổ chức, cơ quan của chính phủ hoặc quốc tế...).
Lỗi bảo mật có thể khiến người dùng phải xem những video giả mạo hoặc nội dung không mong muốn trên TikTok
Hai nhà phát triển ứng dụng Tommy Mysk và Talal Haj Bakry là những người đã phát hiện ra lỗ hổng bảo mật này trên TikTok. Theo đó, TikTok sử dụng mạng phân phối nội dung (CDN - Content Delivery Networks) để giúp truyền tải nội dung đến người dùng của mình trên toàn cầu một cách nhanh chóng hơn.
CDN là một hệ thống máy chủ được đặt khắp nơi trên toàn cầu và có kết nối với nhau, chứa những bản sao về nội dung. Khi một người dùng truy cập vào nội dung đó, họ sẽ được kết nối với máy chủ ở gần mình nhất để giúp tải nội dung được nhanh hơn, đồng thời tránh tình trạng quá tải cho máy chủ trung tâm.
Vấn đề của TikTok ở đây đó là mạng xã hội này sử dụng giao thức HTTP để truyền dữ liệu từ CDN đến thiết bị của người dùng, tuy nhiên, giao thức HTTP lại là giao thức kém bảo mật hơn so với giao thức HTTPS và có thể bị tin tặc tấn công để thay đổi nội dung trong quá trình truyền tải dữ liệu.
“Quá trình định tuyến giữa ứng dụng TikTok và máy chủ CDN của TikTok có thể dễ dàng bị xâm nhập để xem toàn bộ video mà người dùng đã xem, download và lịch sử truy cập ứng dụng của họ”, Mysk và Bakry cho biết. “Các nhà điều hành mạng Wifi công cộng, nhà cung cấp dịch vụ mạng và cơ quan an ninh có thể dễ dàng thu thập những dữ liệu này mà không mất quá nhiều công sức”.
Vì TikTok sử dụng giao thức HTTP để truyền tải dữ liệu giữa thiết bị người dùng với máy chủ của hãng, hai nhà phát triển nhận ra rằng họ có thể sử dụng hình thức tấn công “man-in-the-middle” để lấy cắp dữ liệu trong quá trình truyền tải và hoán đổi dữ liệu mới vào.
Để chứng minh cho hình thức tấn công của mình, hai nhà phát triển ứng dụng này đã chèn những video với nội dung giả mạo về đại dịch Covid-19 vào tài khoản TikTok chính thức của Tổ chức Y tế Thế giới (WHO), với các thông tin như rửa tay quá thường xuyên có thể gây ung thư hay hút thuốc lá có thể tiêu diệt virus corona...
Quá trình thực hiện thử nghiệm vụ tấn công được hai nhà phát triển ứng dụng thực hiện trong một môi trường kín và mô phỏng TikTok, thay vì tấn công thực sự vào tài khoản TikTok của WHO, do vậy người dùng sẽ không nhìn thấy các video với nội dung giả mạo này trên TikTok.
Để thực hiện điều này, hai nhà phát triển ứng dụng đã đánh lừa TikTok và chuyển hướng kết nối của ứng dụng đến máy chủ do giả mạo do mình thiết lập, thay vì máy chủ nằm trong hệ thống CDN của TikTok. Điều này sẽ khiến người dùng TikTok xem những nội dung được gửi đến từ máy chủ của hai nhà phát triển ứng dụng này, thay vì máy chủ của TikTok, do vậy họ có thể hiển thị bất kỳ nội dung và video nào lên TikTok mà họ muốn.
May mắn rằng với hình thức tấn công này, chỉ những người dùng TikTok nào bị chuyển hướng kết nối đến máy chủ của tin tặc mới bị ảnh hưởng và những người này mới có thể thấy các video nội dung giả mạo trên TikTok. Tuy nhiên, hình thức tấn công này sẽ gây thiệt hại nặng nếu tin tặc tấn công vào một hệ thống máy chủ DNS lớn, có nhiều người sử dụng và chuyển hướng toàn bộ những người dùng này sang máy chủ giả mạo do tin tặc quản lý.
Tommy Mysk cho biết hiện chỉ có TikTok sử dụng giao thức HTTP kém bảo mật để truyền tải dữ liệu, trong khi đó các mạng xã hội lớn khác như Facebook, Instagram hay Youtube... đều sử dụng giao thức HTTPS được mã hóa.
“Tôi đã thử kiểm tra, Facebook, Instagram, Youtube, Twitter, Snapchat đều sử dụng giao thức HTTPS để truyền dữ liệu của họ”, Tommy Mysk cho biết.
Đây không phải là lần đầu tiên hai nhà phát triển ứng dụng Mysk và Bakry phát hiện “vấn đề bất thường” trên TikTok. Trước đây, họ cũng đã phát hiện thấy một lỗi trên TikTok cho phép ứng dụng này theo dõi nội dung trên clipboard (phần bộ nhớ lưu trữ các nội dung người dùng đã copy) của iPhone.
Hồi đầu năm, một lỗ hổng bảo mật nghiêm trọng được tìm thấy trên TikTok, khi hãng bảo mật Check Point cũng đã phát hiện một lỗ hổng bảo mật cho phép hacker chiếm quyền điều khiển tài khoản của mạng xã hội này. TikTok sau đó đã vá lại lỗi bảo mật này.
Hiện TikTok đang bị lọt vào tầm ngắm của chính phủ nhiều quốc gia với những lo ngại lấy cắp thông tin người dùng và gián điệp. Để lấy lòng tin của người dùng, Bytedance, “cha đẻ” của TikTok đang tìm cách để “từ bỏ gốc gác” Trung Quốc của mình bằng cách chuyển các hoạt động của công ty ra nước ngoài.
Theo Dân trí
Xem link gốc
Ẩn link gốc
https://dantri.com.vn/suc-manh-so/loi-bao-mat-cho-phep-hacker-dang-video-bat-ky-len-tik-tok-cua-nguoi-khac-20200415122655868.htm
-
Công nghệ22/12/2023VNPT Cyber Immunity với nền tảng quản lý An toàn thông tin (VNPT MSS) sẽ hỗ trợ doanh nghiệp tránh mất an toàn thông tin, lộ lọt dữ liệu, trước các cuộc tấn công từ trong và ngoài tổ chức. -
Công nghệ16/11/2020Ngày 16/11 Công ty Cổ phần Nghiên cứu và Sản xuất VinSmart (Tập đoàn Vingroup) chính thức ra mắt Vsmart Bee Lite - mẫu điện thoại thông minh được trang bị tính năng 4G, mức giá thấp chưa từng có.
-
Công nghệ14/07/2020Chỉ trong một quãng thời gian ngắn, TikTok trở thành "mạng xã hội đáng sợ nhất thế giới". Tại sao ứng dụng Trung Quốc bị tẩy chay dữ dội như vậy?
-
Công nghệ24/06/2020iOS 14 mang đến vô số tiện ích mới lạ và tiện dụng trên dòng sản phẩm iPhone của Apple.
-
Công nghệ24/06/2020Với những bước đơn giản dưới đây, người dùng đã hạn chế thấp nhất nguy cơ bị hacker tấn công chiếm quyền Facebook.
-
Công nghệ24/06/2020Số lượng vụ trộm cướp tiền điện tử tăng nhanh trong năm 2019, các đối tượng cũng có xu hướng thực hiện các vụ trộm với quy mô lớn hơn.
-
Công nghệ23/06/2020Sắc lệnh vừa được tổng thống Mỹ ký sẽ cắt đứt nguồn cung lao động nước ngoài quan trọng cho các công ty công nghệ.
-
Công nghệ23/06/2020Đặc biệt với chị em công sở càng nên nắm vững để không mất tài khoản và thông tin cá nhân đáng tiếc nhé!
-
Công nghệ23/06/2020Nhiều thương hiệu lớn đang tẩy chay quảng cáo trên Facebook để phản đối việc yếu kém trong xử lý ngôn từ thù địch và thông tin sai lệch của mạng xã hội này.
-
Công nghệ23/06/2020Hệ điều hành mới dành cho iPhone hỗ trợ widget tại màn hình chính, cho phép xem video trong khi làm việc khác, cập nhật tính năng cho các phần mềm khác.
-
Công nghệ23/06/2020Apple bước vào Hội nghị WWDC 2020 trong lúc phải đối mặt với làn sóng phản ứng gay gắt nhất từ giới công nghệ kể từ khi App Store “chào đời" năm 2008.
-
Công nghệ22/06/2020FaceApp là ứng dụng đang “gây sốt” trên mạng xã hội với tính năng “chuyển đổi giới tính”. Tuy nhiên, có thông tin cho rằng ứng dụng này lấy cắp thông tin người dùng, liệu điều này có chính xác?
-
Công nghệ22/06/2020Khi xe sắp hết nhiên liệu, trước khi qua đoạn đường ngập nước, trước khi tắt máy,... là những thời điểm mà điều hoà trên ô tô cần phải được tắt.
-
Công nghệ22/06/2020Là một trong những ứng dụng phổ biến ở Việt Nam, nhưng TikTok đang bị liệt kê vào danh sách cấm từ phía Ấn Độ vì có nguồn gốc xuất xứ từ Trung Quốc.