เตือนพบช่องโหว่แอปบน TikTok แนะผู้ใช้เร่งอัปเดต 

11 ม.ค.63 (22:40 น.)
เปิดอ่าน 144 ครั้ง
Check Point ได้ออกมาเปิดเผยช่องโหว่บนแอปพลิเคชันมือถือยอดนิยมอย่าง TikTok หลายรายการที่สามารถนำไปสู่การเปิดเผยข้อมูลได้ จึงแนะนำให้ผู้ใช้เร่งอัปเดต

credit : check point

ช่องโหว่แรกที่ถูกกล่าวถึงคือฟังก์ชัน SMS โดยเพื่อช่วยเหลือผู้ใช้งานติดตั้งแอปพลิเคชัน เว็บไซต์ของ TikTok จะมีการอนุญาตส่งข้อความและลิงก์เข้ามาเพื่อดาวน์โหลดแอปได้ ซึ่งทีม Check Point พบว่าสามารถใช้ช่องทางนี้ในทางที่อันตราย ด้วยการแก้ไขพารามิเตอร์ใน URL และส่งข้อความปลอมเหล่านั้นไปหาเหยื่อหากผู้โจมตีรู้หมายเลขเบอร์โทรศัพท์

ช่องโหว่ที่สองเป็นช่องโหว่ Cross-Site Scripting (XSS) ที่เกิดกับส่วน Ads Subdomain ของเว็บไซต์ TikTok ที่คนร้ายสามารถ Inject สคิร์ปต์อันตรายในผลลัพธ์ของการค้นหาด้วยฟีเจอร์ Search ดังนั้นอาจนำไปสู่การกระทำอันตรายบางอย่างได้ต่อไป

จากช่องโหว่ที่ค้นพบทำให้ทีมงาน Check Point ชี้ว่าคนร้ายจะสามารถใช้ช่องโหว่เพื่อทำการลบ หรือเปลี่ยนวีดีโอส่วนตัวเป็นสาธารณะ หรือแม้กระทั่งโพสต์วีดีโอของตนได้ นอกจากนี้ยังสามารถได้รับข้อมูลส่วนตัวของผู้ใช้อย่างชื่อ อีเมล และวันเกิด ปัจจุบันทีมงาน Check Points ได้ร่วมกัน TikTok เพื่อแก้ไขช่องโหว่เรียบร้อยแล้ว ดังนั้นจึงแนะนำให้ผู้ใช้งานเร่งอัปเดต แต่สำหรับใครที่สนใจเพิ่มเติมสามารถติมตามรายละเอียดได้จากบล็อกของ CheckPoint 

ที่มา :  https://www.zdnet.com/article/tiktok-fixes-security-flaws-that-could-have-let-hackers-manipulate-accounts-access-personal-data/ และ  https://www.hackread.com/tiktok-vulnerability-hackers-send-sms-with-malware/ และ  https://www.bleepingcomputer.com/news/security/tiktok-flaws-allowed-hackers-to-delete-videos-steal-user-info/ , https://www.techtalkthai.com/check-point-discloses-multiple-tiktok-vulnerabilities/

CYBER OPERATIONS CONTEST 2020

ล่าสุด

อัปเดตด่วน พบช่องโหว่ใน Apache Tomcat AJP สามารถอ่านไฟล์บนเซิร์ฟเวอร์ได้โดยไม่ต้องยืนยันตัวตน (Ghostcat : CVE-2020-1938)
26 ก.พ.63(20 นาที) อ่าน 14 ครั้ง
นักพัฒนาซอฟต์แวร์พบช่องโหว่ในระบบ McDonald สั่งอาหารได้ฟรีทุกครั้ง
24 ก.พ.63(2 วัน) อ่าน 12 ครั้ง
องค์การอนามัยโลกเตือนระวังแคมเปญ Phishing เรื่องไวรัสโคโรน่า
24 ก.พ.63(2 วัน) อ่าน 19 ครั้ง
ระวังมัลแวร์ Emotet ขโมยรหัสธนาคารออนไลน์ แพร่กระจายผ่าน Wi-Fi
17 ก.พ.63(8 วัน) อ่าน 67 ครั้ง
Microsoft เตือนผู้ดูแล Exchange เร่งปิด SMBv1 ป้องกันมัลแวร์
14 ก.พ.63(12 วัน) อ่าน 57 ครั้ง
สหรัฐฯ เข้าจับแฮ็กเกอร์ชาวจีนกรณีแฮ็ก Equifax
11 ก.พ.63(15 วัน) อ่าน 25 ครั้ง
พบช่องโหว่ WhatsApp สามารถใช้เข้าถึงไฟล์ของระบบได้
8 ก.พ.63(18 วัน) อ่าน 18 ครั้ง
พบ Backdoor ในชิป HiSilicon คาดอุปกรณ์ DVR/NVR จำนวนมากตกอยู่ในความเสี่ยง
8 ก.พ.63(18 วัน) อ่าน 15 ครั้ง
วิธีการป้องกันภัยจากฟิชชิ่ง (Phishing)
6 ก.พ.63(20 วัน) อ่าน 85 ครั้ง
ประกาศบัญชีรายชื่อผู้ผ่านการเลือกสรรพนักงานราชการทั่วไป
5 ก.พ.63(21 วัน) อ่าน 173 ครั้ง
บริษัทความปลอดภัยไซเบอร์ตรวจสอบระบบไอทีสนามบิน 100 แห่ง มีเพียง 3 แห่งที่ผ่านมาตรฐาน
4 ก.พ.63(21 วัน) อ่าน 18 ครั้ง
ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี
4 ก.พ.63(21 วัน) อ่าน 10 ครั้ง
พบช่องโหว่บน Microsoft Azure Stack เสี่ยงถูกแฮ็กเกอร์เข้าควบคุม Cloud Servers บนนั้นได้
4 ก.พ.63(21 วัน) อ่าน 10 ครั้ง
ระวังภัย พบมัลแวร์แพร่กระจายผ่านอีเมลโดยอ้างชื่อไวรัสโคโรน่า
3 ก.พ.63(23 วัน) อ่าน 15 ครั้ง
พบช่องโหว่บน Plugin Code Snippets บน WordPress แนะผู้ใช้ควรอัปเดต
30 ม.ค.63(27 วัน) อ่าน 16 ครั้ง