fbpx
News

Microsoft พบช่องโหว่ร้ายแรงใน TikTok คลิกลิงก์เดียวเข้าถึงข้อมูลผู้ใช้ได้ทั้งบัญชี

มีรายงานออกมาว่า Microsoft ค้นพบเจอช่องโหว่ในแอป TikTok ที่ทำให้ผู้ใช้งานมีความสุ่มเสี่ยงถูกยึดบัญชีได้จากการกดลิงก์เพียงคลิกเดียว เลยรีบประกาศเตือนให้เหล่าผู้พัฒนาได้รับทราบ และแจ้งไปยัง TikTok เพื่อให้แก้ไขปัญหาความปลอดภัยนี้ ซึ่งก็ยังดีที่ทาง TikTok รับรู้เรื่องดังกล่าวและรีบดำเนินการอย่างไวเลย โดยช่องโหว่นี้ได้รับการแก้ไขไปเรียบร้อยแล้วครับ

ช่องโหว่ความปลอดภัยนี้จะส่งผลต่อผู้ใช้มือถือระบบปฏิบัติการ Android ที่ใช้แอป TikTok เวอร์ชัน 23.7.3 หรือเก่ากว่า และเมื่อทดลองดูแล้วก็พบว่าตัวแอป Tiktok จากทุกโซนมีความเสี่ยงเท่ากันหมดเลย แปลว่ามีอุปกรณ์ที่อาจได้รับผลกระทบสูงถึง 1.5 พันล้านเครื่องเลยทีเดียว แต่ยังโชคดีที่การแฮกผ่านช่องโหว่ดังกล่าวมีขั้นตอนที่ค่อนข้างซับซ้อนเลยยังไม่มีแฮกเกอร์คนไหนได้ลองทำ

ช่องโหว่นี้ทำให้บัญชี Tiktok ถูกแฮคได้ง่าย ๆ เพียงแค่ผู้ใช้ไปกดลิงก์ที่แฮคเกอร์ส่งมา โดยหลังจากถูกแฮกก็จะทำให้สามารถเข้าถึงข้อมูลอย่างการดูวิดีโอส่วนตัว ส่งข้อความไปหาคนอื่น และอัปโหลดวิดีโอลงในบัญชีได้ด้วย

โดยช่องทางจู่โจมอยู่ในหน้าต่าง WebView ของแอป ที่แฮกเกอร์สามารถบังคับให้ตัวแอปเปิดหน้าจอนี้ขึ้นมาจากลิงก์ที่ส่งให้ผู้ใช้ ทำให้เข้าถึง JavaScript bridges ของหน้า WebView ซึ่งมีช่องทางให้เข้าถึงข้อมูลต่าง ๆ ได้กว่า 70 ช่องทาง ส่วนการขโมย authentication tokens ก็ทำได้โดยการเรียกขอจากเซิฟเวอร์แล้วก็ดูใน cookie กับ request headers

หลังจากพบช่องโหว่นี้ Microsoft ก็แจ้งผ่านระบบ Coordinated Vulnerability Disclosure ไปเมื่อเดือนกุมภาพันธ์ 2022 ซึ่ง TikTok ก็แก้ไขปัญหาเสร็จเรียบร้อยในเดือนถัดมา ซึ่งก็เรียกว่าสามารถทำงานได้อย่างรวดเร็วจนยังไม่มีผู้ใช้คนไหนโดนเล่นงานครับ

 

ที่มา : xda-developers, microsoft

Leave a Reply

To Top

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวเองได้ของคุณได้เองโดยคลิกที่ ตั้งค่า

Privacy Preferences

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

Allow All
Manage Consent Preferences
  • Always Active

Save