ព័ត៌មាន

ក្រុមអ្នកស្រាវជ្រាវបង្ហាញអំពីរបៀបហេគទៅលើគណនី TikTok តាមរយៈការផ្ញើសារ SMS

TikTok ជាកម្មវិធីដែលគេទាញយកប្រើច្រើនជាងគេទី៣ក្នុងឆ្នាំ២០១៩ កំពុងស្ថិតក្រោមការត្រួតពិនិត្យយ៉ាងខ្លាំងលើភាពឯកជនរបស់អ្នកប្រើប្រាស់ ការត្រួតពិនិត្យខ្លឹមសារដែលមានលក្ខណៈចម្រូងចម្រាសផ្នែកនយោបាយនិងមូលដ្ឋានសន្តិសុខជាតិ ប៉ុន្តែមិនទាន់ចប់នៅឡើយទេព្រោះឥឡូវនេះសុវត្ថិភាពរបស់អ្នកប្រើប្រាស់ TikTok រាប់ពាន់លាននាក់កំពុងត្រូវសាកសួរ។កម្មវិធីចែករំលែកវីដេអូដ៏ល្បីល្បាញរបស់ចិនមានផ្ទុកនូវភាពងាយរងគ្រោះដ៏គ្រោះថ្នាក់ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយលួចគណនីអ្នកប្រើណាមួយដោយគ្រាន់តែដឹងពីលេខទូរស័ព្ទរបស់ជនរងគ្រោះគោលដៅ។

image

នៅក្នុងរបាយការណ៍ដែលចែករំលែកជាឯកជនជាមួយ The Hacker News ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពសន្តិសុខនៅ Check Point បង្ហាញថាការដាក់ច្រវ៉ាក់ងាយរងគ្រោះជាច្រើនអនុញ្ញាតឱ្យពួកគេប្រតិបត្តិកូដព្យាបាទពីចម្ងាយនិងធ្វើសកម្មភាពដែលមិនចង់ក្នុងនាមជនរងគ្រោះដោយគ្មានការយល់ព្រម។ភាពងាយរងគ្រោះដែលរាយការណ៍រួមមានបញ្ហាភាពធ្ងន់ធ្ងរទាបដូចជាការបំផ្លាញតំណភ្ជាប់សារ SMS ការប្តូរទិសបើកមើល និងការសរសេរអក្សរឆ្លងគេហទំព័រ (XSS) ដែលនៅពេលបញ្ចូលគ្នាអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយអនុវត្តការវាយប្រហារដែលមានផលប៉ះពាល់ខ្ពស់រួមមាន៖

  • លុបវីដេអូពីប្រវត្តិរូប TikTok របស់ជនរងគ្រោះ,

  • ផ្ទុកឡើងនូវវីដេអូដែលគ្មានការអនុញ្ញាតក្នុងប្រវត្តិរូប TikTok របស់ជនរងគ្រោះ។

  • ធ្វើវីដេអូឯកជន “លាក់” ជាសាធារណៈ

  • បង្ហាញព័ត៌មានផ្ទាល់ខ្លួនដែលរក្សាទុកនៅលើគណនីដូចជាអាស័យដ្ឋានឯកជននិងសារអេឡិចត្រូនិច។

ការវាយប្រហារនេះផ្តល់នូវប្រព័ន្ធសារ SMS គ្មានសុវត្ថិភាពដែល TikTok ផ្តល់ជូននៅលើគេហទំព័ររបស់ខ្លួនដើម្បីអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ផ្ញើសារទៅលេខទូរស័ព្ទរបស់ពួកគេដែលមានតំណភ្ជាប់ដើម្បីទាញយកកម្មវិធីចែករំលែកវីដេអូ។យោងតាមអ្នកស្រាវជ្រាវ អ្នកវាយប្រហារអាចផ្ញើសារ SMS ទៅកាន់លេខទូរស័ព្ទណាមួយក្នុងនាមជា TikTok ជាមួយនឹង URL ទាញយកដែលកែប្រែទៅទំព័រព្យាបាទដែលត្រូវរចនាឡើងដើម្បីប្រតិបត្តិកូដនៅលើឧបករណ៍គោលដៅដែលមានកម្មវិធី TikTok ដែលតំឡើងរួចហើយ។

image

 នៅពេលដែលបញ្ចូលគ្នាជាមួយបញ្ហាប្តូរទិសបើកប្រើនិងបញ្ហាឆ្លងស្គ្រីបគេហទំព័រ ការវាយប្រហារអាចអនុញ្ញាតឱ្យពួកអនាមិកប្រតិបត្តិកូដ JavaScript ជំនួសឱ្យជនរងគ្រោះភ្លាមៗនៅពេលដែលពួកគេចុចលើតំណភ្ជាប់ដែលផ្ញើដោយម៉ាស៊ីនមេ TikTok តាមរយៈសារ SMS។បច្ចេកទេសនេះត្រូវគេស្គាល់ជាទូទៅថាជាការវាយលុកការស្នើសុំឆ្លងតំបន់បណ្តាញដែលអ្នកវាយប្រហារបោកប្រាស់អ្នកប្រើអោយប្រតិបត្តិសកម្មភាពដែលមិនចង់។អ្នកស្រាវជ្រាវនិយាយនៅលើប្លុកមួយដែលចេញផ្សាយនៅថ្ងៃនេះថា “ដោយខ្វះនូវយន្តការនៃការក្លែងបន្លំការស្នើសុំឆ្លងតំបន់បណ្តាញ យើងដឹងថាយើងអាចប្រតិបត្តិកូដ JavaScript និងធ្វើសកម្មភាពជំនួសជនរងគ្រោះដោយគ្មានការយល់ព្រម”។

“ការបញ្ជូនអ្នកប្រើទៅកាន់គេហទំព័រដែលមានគំនិតអាក្រក់នឹងប្រតិបត្តិកូដ JavaScript ហើយស្នើសុំទៅ Tiktok ជាមួយ cookies របស់ជនរងគ្រោះ។”Check Point រាយការណ៍ពីភាពងាយរងគ្រោះទាំងនេះដោយមានទំនួលខុសត្រូវចំពោះ ByteDance ដែលជាអ្នកអភិវឌ្ឍន៍ក្រុមហ៊ុន TikTok នៅចុងខែវិច្ឆិកា ឆ្នាំ២០១៩ ដែលបន្ទាប់មកចេញផ្សាយកម្មវិធីទូរស័ព្ទចល័តរបស់ខ្លួនក្នុងរយៈពេលមួយខែដើម្បីការពារអ្នកប្រើប្រាស់របស់ពួកគេពីពួកអនាមិក។ប្រសិនបើអ្នកមិនដំណើរការ TikTok កំណែចុងក្រោយដែលមាននៅលើហាងកម្មវិធីផ្លូវការសម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Android និង iOS អ្នកត្រូវណែនាំឱ្យធ្វើបច្ចុប្បន្នភាពវាឱ្យឆាប់តាមដែលអាចធ្វើទៅ។