Theo Engadget, lỗ hổng bảo mật sẽ cho phép những kẻ tấn công sử dụng tính năng “Friend Finder” của ứng dụng để lấy cắp thông tin chi tiết hồ sơ và số điện thoại của người dùng, sau đó xây dựng cơ sở dữ liệu thông tin có thể được sử dụng cho các cuộc tấn công độc hại.
Các nhà nghiên cứu của Check Point đã phát triển một phương pháp khai thác sau khi nhận thấy lỗ hổng trong cách thức máy chủ của TikTok xác nhận các yêu cầu của Friend Finder. Tiktok sẽ sử dụng ID thiết bị duy nhất cho điện thoại của mỗi người dùng và sẽ tạo mã thông báo về người dùng và phiên cookie. Tuy nhiên, nhóm nghiên cứu nhận thấy các cookie này có hiệu lực trong tối đa 60 ngày, cho phép chúng được sử dụng trong các thiết bị ảo thay vì điện thoại thực.
Một lỗ hổng trước đây của Facebook là minh chứng điển hình cho hình thức tấn công này. Tội phạm mạng có thể lấy cắp nhiều số điện thoại do người dùng Facebook nhập vào nhằm mục đích riêng tư và xây dựng cơ sở dữ liệu lên đến 500 triệu người dùng. Sau đó, chúng tạo ra một con bot Telegram tiết lộ các con số điện thoại này cho bất kỳ ai sẵn sàng trả tiền.
Check Point Research cho biết đã thông báo cho các nhà phát triển và nhóm bảo mật của TikTok về vấn đề này và một giải pháp đã được triển khai một cách có trách nhiệm để đảm bảo người dùng của họ có thể tiếp tục sử dụng ứng dụng TikTok một cách an toàn.
Người phát ngôn của TikTok nhấn mạnh “lỗ hổng có thể cho phép kẻ tấn công xây dựng cơ sở dữ liệu về chi tiết người dùng và số điện thoại tương ứng của họ. Kẻ tấn công với mức độ thông tin nhạy cảm đó có thể thực hiện một loạt các hoạt động độc hại, chẳng hạn như lừa đảo trực tuyến hoặc các hành động tội phạm khác. Thông điệp của chúng tôi tới người dùng TikTok là chia sẻ dữ liệu cá nhân ở mức tối thiểu, cập nhật hệ điều hành và ứng dụng lên phiên bản mới nhất. Chúng tôi vẫn tiếp tục tăng cường khả năng phòng thủ của mình, bằng cách liên tục nâng cấp năng lực nội bộ của mình như đầu tư vào hệ thống phòng thủ tự động hóa và cũng bằng cách hợp tác với các bên thứ ba”.