Microsoft รายงานข้อบกพร่องใน TikTok
2 กันยายน 2565
Microsoft พบข้อพกพร่องที่มีความเสี่ยงสูงในแอพพลิเคชัน TikTok ในช่วงเดือนกุมภาพันธ์ที่ผ่านมา การจากตรวจสอบผู้โจมตีทำการสร้างลิงก์ขึ้นใหม่ เพื่อหลอกให้ผู้ใช้งานที่ไม่ได้สนใจว่าเป็นลิงก์ประเภทไหน เมื่อผู้ใช้งานทำการคลิกเพียงแค่ครั้งเดียว ก็ถือว่าเป็นการเปิดสิทธิ์ และอนุญาตให้ผู้โจมตีสามารถควบคุมบัญชีของผู้ใช้ง่ายได้อย่างง่ายดาย
หลังจากที่ผู้โจมตีเข้าถึงบัญชีของผู้ใช้งานได้ จะสามารถทำการแก้ไขโปรไฟล์ใน TikTok รวมถึงข้อมูลส่วนตัว เช่น การส่งข้อความไปหาผู้อื่น การเผยแพร่รูปภาพ ไฟล์วีดีโอ และอัพโหลดไฟล์วีดีโอ หรือข้อมูลต่างๆ ในนามของผู้ใช้งาน
จากการคลิกลิงก์เผยให้เห็นวิธีการทำงานของ JavaScript นั้นมีมากกว่า 70 วิธีที่ถูกออกแบบมาเพื่อโจมตี WebView ของแอพพลิเคชัน TikTok ทำให้ผู้โจมตีสามาถเข้าถึงบัญชี และแก้ไขข้อมูลส่วนตัวของผู้ใช้งาน TikTok ได้รวมถึงดำเนินการร้องขอการใช้งานสิทธิ์ได้ผ่าน HTTP requests ไปยังเซิร์ฟเวอร์ต้นทาง รวมถึงการบันทึกคุกกี้ในส่วนของคำขอนั้นๆ
จากเหตุการณ์ที่เกิดขึ้นจัดอยู่ในช่องโหว่ CVE-2022-28799 ที่ได้รับการแก้ไขแล้วในแอพพลิเคชัน TikTok ที่อยู่ในเวอร์ชั่น 23.7.3 ได้ถูกเผยแพร่หลังจากการประกาศของทาง Microsoft เป็นเวลา 1 เดือน
Microsoft ยังไม่พบหลักฐานจากช่องโหว่ CVE-2022-28799 แต่ผู้ใช้งาน TikTok สามารถป้องกันปัญหาที่เกิดขึ้นด้วยการไม่คลิกลิงก์แปลกหลอม หรือที่ไม่มีความน่าเชื่อถือ และทำการอัพเดตให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ รวมถึงดาวน์โหลดแอพพลิเคชันจากช่องทางที่เป็นทางการเท่านั้น หากพบปัญหาการใช้งานให้ทำการรายงานสิ่งที่เกิดขึ้นโดยเร็วที่สุด
ส่วนในช่วงเดือนพฤศจิกายน 2563 ทาง TikTok ได้แก้ไขปัญหาช่องโหว่ที่เกิดขึ้นได้อย่างรวดเร็ว รวมถึงช่องโหว่อื่นๆ ที่อาจเป็นช่องทางให้ผู้โจมตีเข้ามาขโมยข้อมูลส่วนตัวของผู้ใช้งาน รวมถึงแอบใช้บัญชีเพื่อบันทึกรูปภาพ และวีดีโอ ตามรายการที่อยู่ใน Google Play Store
จากการสำรวจพบว่าใน Android มีการใช้งาน และติดตั้งแอพพลิเคชัน TikTok มากกว่า 1 พันล้านครั้ง และบนอุปกรณ์มือถือทุกแพลตฟอร์มกว่า 2 พันล้านครั้ง ตั้งแต่เดือนเมษายน 2563
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา