Nhóm nghiên cứu 365 Defender của Microsoft đã tìm ra lỗ hổng trong ứng dụng đến từ Trung Quốc và báo với TikTok vào tháng 2.2022, theo Engadget.
Sau khi nhận được thông tin, TikTok đã nhanh tay vá lại các lỗ hổng trước khi nó bị Microsoft công bố. Nhóm chuyên gia tìm ra lỗ hổng cũng cho biết họ không có bằng chứng nào về việc các hacker từng lợi dụng các lỗ hổng này.
“Chúng tôi đã cung cấp cho họ thông tin về lỗ hổng bảo mật và hợp tác để giúp khắc phục sự cố. TikTok đã phản hồi nhanh chóng và chúng tôi khen ngợi cách giải quyết hiệu quả và chuyên nghiệp từ đội bảo mật của họ”, Nhà nghiên cứu bảo mật Tanmay Ganacharya của Microsoft cho biết.
Đại diện Microsoft cho biết lỗ hổng bảo mật này ảnh hưởng tới việc giám sát chức năng liên kết sâu của ứng dụng TikTok. Trên Android, các nhà phát triển ứng dụng thường xuyên xử lý các URL để khi người dùng bấm vào, ứng dụng đó sẽ tự động mở.
Tuy nhiên, Microsoft đã tìm ra cách để bỏ qua quy trình xác minh mà TikTok đã đặt ra để hạn chế các liên kết sâu. Microsoft còn cho biết rằng họ có thể sử dụng lỗ hổng đó để truy cập và điều khiển tất cả các chức năng chính của tài khoản, kể cả đăng video hay nhắn tin.
Lỗ hổng này xuất hiện trong cả hai phiên bản của TikTok trên Android, với hơn 1,5 tỉ lượt tải xuống.
Microsoft cũng đưa ra lời khuyến nghị tới tất cả người dùng TikTok trên Android, gợi ý họ tải phiên bản cập nhật mới nhất để tránh các rủi ro khi sử dụng ứng dụng.