У додатку TikTok виявили уразливість, яка дозволяє хакерам публікувати ролики від імені чужих облікових записів. Про це заявили фахівці з безпеки.
У коді популярного додатка фахівці виявили уразливість, яка дозволяє публікувати відеоролики від імені інших користувачів, перехоплюючи дані їх акаунтів. Так відбувається через те, що для більш швидкого обміну даними TikTok використовує веб-протокол HTTP для більшої продуктивності. Відзначимо, від нього відмовилися практично в усьому сегменті інтернету на користь більш надійного HTTPS.
«Будь-який маршрутизатор між додатком TikTok і CDN, який ним використовується, може з легкістю реєструвати всі завантажені і переглянуті користувачем відео, надаючи доступ до історії його переглядів. Оператори відкритих мереж Wi-Fi, інтернет-провайдери та розвідувальні служби можуть з легкістю отримати ці дані», — повідомили розробники.
Apple і Google вимагають від додатків обов’язкового використання HTTPS, однак для деяких розробників, які використовують HTTP, є винятки.
Оскільки TikTok передає фотографії і відео через HTTP, користувачі сервісу ризикують стати жертвами так званої атаки «людина посередині». Зловмисники можуть модифікувати контент в процесі його передачі і замінити відео, опубліковане користувачем, матеріалом на свій розсуд.
Щоб на прикладі показати, наскільки проблематичною може бути ця проблема, Майськ і Бакрі, використовуючи уразливість, завантажили фейкове відео на тему коронавірусу в обліковий запис Всесвітній організації охорони здоров’я (ВООЗ) в TikTok. Таким же способом розробникам вдалося завантажити підроблені ролики і на інші перевірені сторінки, в тому числі Червоного хреста і самого TikTok.
Для атаки Майськ і Бакрі налаштували сервер, який видавав себе за сервер CDN, і шляхом обману змусили додаток TikTok підключитися до нього. Як пояснили розробники, це можна зробити, отримавши безпосередній доступ до маршрутизатора користувача.
Раніше цього року фірма з кібербезпеки Check Point виявила низку недоліків безпеки в додатку TikTok, в тому числі й той, який дозволяв хакерам контролювати обліковий запис користувача.