Lập trình viên xâm nhập DNS để hack TikTok

Với những nội dung độc đáo và sáng tạo, TikTok là nền tảng chia sẻ video đang được giới trẻ ưa chuộng trong thời gian gần đây.

TikTok vượt qua mốc 1 tỉ lượt cài đặt trên Android

Mới đây, một lỗ hổng bảo mật trong ứng dụng TikTok trên iOS đã bị 2 lập trình viên phát hiện, sử dụng kỹ thuật đơn giản để "lừa" ứng dụng kết nối với máy chủ giả nhằm phát video tùy ý muốn.

Theo Android Authority, lý do chính đến từ việc TikTok vẫn sử dụng giao thức HTTP đã cũ thay vì HTTPS để truyền video từ mạng phân phối nội dung (CDN) của họ. Sử dụng HTTP có thể cải thiện hiệu suất truyền dữ liệu, song sẽ kém bảo mật hơn HTTPS.

Sử dụng phương thức tấn công DNS trên mạng cục bộ, hai nhà phát triển (gọi là Mysk) đã tận dụng lỗ hổng này để thay đổi nội dung video đang phát trên màn hình thành nội dung được lưu trên máy chủ của riêng.

Trong đoạn video trên, Mysk đã tạo đoạn clip giả mạo về dịch Covid-19, đăng lên máy chủ của họ rồi dùng kỹ thuật tấn công DNS để video ấy xuất hiện trong các tài khoản từ Tổ chức Y tế Thế giới (WHO), Hội Chữ thập đỏ Anh và Mỹ.

May mắn thay khi chỉ những người có kết nối trực tiếp với máy chủ của Mysk mới xem được những video này. Mục đích của Mysk chỉ là cho thấy lỗ hổng bảo mật của TikTok, không phải để phá hoại.

Tuy nhiên, việc sử dụng giao thức HTTP cũng khiến TikTok đối mặt nhiều vấn đề bảo mật nghiêm trọng khác. Bạn đọc quan tâm có thể tham khảo chi tiết về cách kích hoạt lỗi này trên website của Mysk tại đây.

Phúc Thịnh