В TikTok нашли уязвимость, позволяющую подменять ролики пользователей
14 апреля 2020 года
Исследователи в области кибербезопасности Томми Майск и Талал Хардж Бакри нашли в популярном сервисе в TikTok уязвимость, которая позволяет хакерам размещать ролики от имени чужих учетных записей. В качестве эксперимента Майск и Бакри добавили в ленты пользователей TikTok фейковые видео о коронавирусе, якобы опубликованные Всемирной организацией здравоохранения (ВОЗ).
Как пишет SecurityLab, для более быстрого обмена данными TikTok использует сети доставки контента (Content Delivery Networks, CDN), которые в свою очередь используют незащищенный протокол HTTP для большей производительности. Выбор в пользу HTTP вместо более безопасного HTTPS ставит пользователей под угрозу.
"Любой маршрутизатор между приложением TikTok и используемым им CDN может с легкостью регистрировать все загруженные и просмотренные пользователем видео, тем самым делая доступной всю его историю просмотров. Операторы открытых сетей Wi-Fi, интернет-провайдеры и разведывательные службы могут без труда собирать эти данные", – сообщили исследователи.
Кроме того, использование HTTP позволяет хакерам атаковать TikTok и подменять настоящие видеоролики того или иного пользователя фейковыми, пишет TJ. Чтобы доказать реальность угрозы, Майск и Бакри устроили атаку "человек посередине", загрузив фейковое видео о коронавирусе в учетную запись ВОЗ в TikTok.
Для осуществления атаки исследователи настроили сервер, выдававший себя за сервер CDN, и обманным путем заставили приложение TikTok подключиться к нему. Добиться этого можно, получив непосредственный доступ к маршрутизатору пользователя. Таким образом, фейковое видео загружается лишь в атакованную сеть, но если злоумышленники взломают популярный DNS-сервер, то смогут обмануть значительное число пользователей TikTok.
Это не первая серьезная уязвимость TikTok, обнаруженная за последнее время. Так, в начале этого года компания Check Point обнаружила уязвимость, позволяющую хакерам управлять чужими аккаунтами в TikTok. Позднее Майск и Бакри нашла лазейку безопасности, которая предоставляла приложению доступ к буферу обмена в iPhone.
Источники править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.