Theo TechRadar, các nhà nghiên cứu an ninh mạng từ Imperva đã phát hiện ra một lỗ hổng trong ứng dụng TikTok, lỗ hổng này có thể cho phép những kẻ tấn công đánh cắp dữ liệu nhạy cảm từ thiết bị nạn nhân, từ đó sử dụng trong các cuộc tấn công đánh cắp danh tính, lừa đảo hoặc tống tiền.
Lỗ hổng được tìm thấy trong cách ứng dụng xử lý các tin nhắn đến. Giải thích về phương pháp này, các nhà nghiên cứu cho biết những kẻ tấn công có thể gửi một tin nhắn độc hại đến ứng dụng web TikTok thông qua API PostMessage, tin nhắn này sẽ vượt qua mọi biện pháp bảo mật. Trình xử lý sự kiện tin nhắn sau đó sẽ xử lý tin nhắn và cho rằng nó an toàn, cấp cho kẻ tấn công quyền truy cập vào các thông tin có giá trị.
Bằng cách khai thác lỗ hổng, kẻ tấn công có thể truy cập vào dữ liệu thiết bị của người dùng (loại thiết bị, hệ điều hành, trình duyệt được sử dụng, …), nạn nhân đã xem những video gì, thời gian xem trên mỗi video, dữ liệu tài khoản người dùng (tên người dùng, video, chi tiết tài khoản khác), thông tin tìm kiếm (những gì người dùng đã tìm kiếm trên nền tảng).
Hiện lỗ hổng này đã được khắc phục. Tuy nhiên, ngay cả khi không có lỗ hổng, TikTok vẫn là một ứng dụng gây tranh cãi. Nó được xây dựng bởi một công ty Trung Quốc tên là ByteDance và hiện có hơn 1,5 tỷ người dùng.
Gần đây, chính phủ Mỹ bắt đầu tỏ ra thận trọng và cấm các công ty Trung Quốc. Đối với TikTok, trước đó chính phủ Mỹ buộc công ty phải lưu trữ tất cả dữ liệu của nền tảng tại Mỹ, gần đây đã yêu cầu nhân viên của họ xóa ứng dụng này khỏi các thiết bị do chính phủ cấp, vì lo ngại các vấn đề về an ninh quốc gia.
Phía TikTok đang phủ nhận mọi cáo buộc liên quan đến những hành vi sai trái mà họ bị nghi vấn.