Một lỗ hổng nghiêm trọng vừa được Microsoft tìm thấy trong ứng dụng TikTok trên Android, có thể cho phép tin tặc chiếm đoạt hàng triệu tài khoản.

Nhóm nghiên cứu 365 Defender của Microsoft đã tìm ra lỗ hổng trong ứng dụng đến từ Trung Quốc và báo với TikTok vào tháng 2.2022, theo Engadget. Sau khi nhận được thông tin, TikTok đã nhanh tay vá lại các lỗ hổng trước khi nó bị Microsoft công bố. Nhóm chuyên gia tìm ra lỗ hổng cũng cho biết họ không có bằng chứng nào về việc các hacker từng lợi dụng các lỗ hổng này.

Nhà nghiên cứu bảo mật Tanmay Ganacharya của Microsoft cho biết: “Chúng tôi đã cung cấp cho họ thông tin về lỗ hổng bảo mật và hợp tác để giúp khắc phục sự cố này. TikTok đã phản hồi nhanh chóng và chúng tôi khen ngợi cách giải quyết hiệu quả và chuyên nghiệp từ đội bảo mật của họ”.

Đại diện Microsoft cho biết lỗ hổng bảo mật này ảnh hưởng tới việc giám sát chức năng liên kết sâu của ứng dụng TikTok. Trên Android, các nhà phát triển ứng dụng thường xuyên xử lý các URL để khi người dùng bấm vào, ứng dụng đó sẽ tự động mở.

Tuy nhiên, Microsoft đã tìm ra cách để bỏ qua quy trình xác minh mà TikTok đã đặt ra để hạn chế các liên kết sâu thực hiện một số hành động nhất định. Sau đó, họ phát hiện ra rằng họ có thể sử dụng lỗ hổng đó để truy cập vào tất cả các chức năng chính của tài khoản, bao gồm khả năng đăng nội dung và nhắn tin cho những người dùng TikTok khác. Lỗ hổng này xuất hiện trong cả hai phiên bản toàn cầu của ứng dụng TikTok cho Android với hơn 1,5 tỉ lượt tải xuống, vì vậy tác động tiềm ẩn của lỗ hổng là quan trọng nếu TikTok không tiến hành sửa lỗi.

Microsoft cũng đưa ra lời khuyến nghị tới tất cả người dùng TikTok trên Android, gợi ý họ tải phiên bản cập nhật mới nhất để tránh các rủi ro khi sử dụng ứng dụng.