Các nhà nghiên cứu của Check Point đã phát hiện ra các lỗ hổng này trong nền tảng mạng xã hội phổ biến TikTok. Trong đó, bao gồm một lỗi liên kết SMS giả mạo, ảnh hưởng đến tính năng trên trang web chính của TikTok cho phép người dùng gửi tin nhắn đến điện thoại của họ để tải ứng dụng.
Lỗ hổng này có thể cho phép tin tặc tìm ra số điện thoại của nạn nhân để gửi các liên kết độc hại tùy chỉnh. Từ đó, tin tặc có thể chiếm đoạt tài khoản, xóa video, đăng nội dung và công khai các video riêng tư.
Hãng bảo mật Check Point cũng phát hiện ra lỗ hổng chèn mã chéo trang (Cross-Site Scripting - XSS) trong tên miền phụ quảng cáo trên website chính thức của TikTok, cụ thể là trong phần trung tâm trợ giúp. Lỗ hổng này có thể cho phép tin tặc chèn mã JavaScript độc hại vào website để thu thập thông tin tài khoản cá nhân của người dùng. Lỗ hổng bị khai thác do thiếu cơ chế giả mạo yêu cầu chống chéo trang.
Trưởng bộ phận nghiên cứu lỗ hổng sản phẩm của Check Point - Oded Vanunu, giải thích: “Các ứng dụng mạng xã hội dễ bị tin tặc nhắm mục tiêu khai thác lỗ hổng vì có nhiều nguồn dữ liệu riêng tư và dễ dàng bị tấn công".
“Tin tặc đang tiêu tốn chi phí và giành nhiều nỗ lực để thâm nhập vào các ứng dụng phổ biến như vậy. Tuy nhiên, hầu hết người dùng đều cho rằng họ đã được bảo vệ bởi những ứng dụng này”, Vanunu cho biết thêm.
Công ty công nghệ ByteDance có trụ sở tại Bắc Kinh, Trung Quốc đã mua ứng dụng TikTok từ công ty Music.ly của Mỹ vào năm 2017, nhưng vì sự phổ biến của nó tại Mỹ, nên các nhà lập pháp đang ngày càng quan ngại về sự trao đổi này. Điều này tạo lên mối lo ngại về bảo mật về ứng dụng tồn tại ở Mỹ và quyền sở hữu của ứng dụng là của Trung Quốc.
Các báo cáo cho thấy, cả quân đội và hải quân Mỹ đã cấm các quân nhân sử dụng ứng dụng này trên các thiết bị do chính phủ trang cấp. Trong khi đó, Ủy ban Đầu tư Nước ngoài (CFIUS) của Mỹ đã bắt đầu một cuộc điều tra về việc liệu dữ liệu người dùng mà TikTok thu thập có được coi là rủi ro an ninh quốc gia hay không.