มีรายงานออกมาว่า Microsoft ค้นพบเจอช่องโหว่ในแอป TikTok ที่ทำให้ผู้ใช้งานมีความสุ่มเสี่ยงถูกยึดบัญชีได้จากการกดลิงก์เพียงคลิกเดียว เลยรีบประกาศเตือนให้เหล่าผู้พัฒนาได้รับทราบ และแจ้งไปยัง TikTok เพื่อให้แก้ไขปัญหาความปลอดภัยนี้ ซึ่งก็ยังดีที่ทาง TikTok รับรู้เรื่องดังกล่าวและรีบดำเนินการอย่างไวเลย โดยช่องโหว่นี้ได้รับการแก้ไขไปเรียบร้อยแล้วครับ
ช่องโหว่ความปลอดภัยนี้จะส่งผลต่อผู้ใช้มือถือระบบปฏิบัติการ Android ที่ใช้แอป TikTok เวอร์ชัน 23.7.3 หรือเก่ากว่า และเมื่อทดลองดูแล้วก็พบว่าตัวแอป Tiktok จากทุกโซนมีความเสี่ยงเท่ากันหมดเลย แปลว่ามีอุปกรณ์ที่อาจได้รับผลกระทบสูงถึง 1.5 พันล้านเครื่องเลยทีเดียว แต่ยังโชคดีที่การแฮกผ่านช่องโหว่ดังกล่าวมีขั้นตอนที่ค่อนข้างซับซ้อนเลยยังไม่มีแฮกเกอร์คนไหนได้ลองทำ
ช่องโหว่นี้ทำให้บัญชี Tiktok ถูกแฮคได้ง่าย ๆ เพียงแค่ผู้ใช้ไปกดลิงก์ที่แฮคเกอร์ส่งมา โดยหลังจากถูกแฮกก็จะทำให้สามารถเข้าถึงข้อมูลอย่างการดูวิดีโอส่วนตัว ส่งข้อความไปหาคนอื่น และอัปโหลดวิดีโอลงในบัญชีได้ด้วย
โดยช่องทางจู่โจมอยู่ในหน้าต่าง WebView ของแอป ที่แฮกเกอร์สามารถบังคับให้ตัวแอปเปิดหน้าจอนี้ขึ้นมาจากลิงก์ที่ส่งให้ผู้ใช้ ทำให้เข้าถึง JavaScript bridges ของหน้า WebView ซึ่งมีช่องทางให้เข้าถึงข้อมูลต่าง ๆ ได้กว่า 70 ช่องทาง ส่วนการขโมย authentication tokens ก็ทำได้โดยการเรียกขอจากเซิฟเวอร์แล้วก็ดูใน cookie กับ request headers
หลังจากพบช่องโหว่นี้ Microsoft ก็แจ้งผ่านระบบ Coordinated Vulnerability Disclosure ไปเมื่อเดือนกุมภาพันธ์ 2022 ซึ่ง TikTok ก็แก้ไขปัญหาเสร็จเรียบร้อยในเดือนถัดมา ซึ่งก็เรียกว่าสามารถทำงานได้อย่างรวดเร็วจนยังไม่มีผู้ใช้คนไหนโดนเล่นงานครับ
ที่มา : xda-developers, microsoft
Comment