В TikTok нашли уязвимость, которая позволяет публиковать видео в чужих аккаунтах
14 апреля 2020, 13:48
2 мин чтения
Материал успешно добавлен в закладки
Достигнуто максимальное количество закладок
Добавить в закладки
Любую статью можно сохранить в закладки на сайте, чтобы прочесть ее позже.
Далее
Завершить
Дмитро КошельникПридумываю темы, редактирую тексты, пишу о компаниях и предпринимателях, придираюсь к фактам.
Режим чтения увеличивает текст, убирает всё лишнее со страницы и даёт возможность сосредоточиться на материале. Здесь вы можете отключить его в любой момент.
Режим чтения
Режим чтения увеличивает текст, убирает всё лишнее со страницы и даёт возможность сосредоточиться на материале. Здесь вы можете отключить его в любой момент.
Завершить
Исследователи обнаружили уязвимость в TikTok. Она позволяет хакерам публиковать видео от имени чужих аккаунтов, пишет Mashable.
Что случилось
Разработчики Томми Майск и Талал Хардж Барки обнаружили уязвимость в TikTok, которая позволяет публиковать видео в чужих аккаунтах. Соцсеть использует сети доставки контента (CDN) для более эффективной передачи данных по всему миру. Для повышения производительности CDN передают данные по незашифрованному протоколу HTTP вместо более безопасного HTTPS. Это ставит под угрозу конфиденциальность пользователей. «Любой маршрутизатор между приложением TikTok и CDN может легко составить список всех видео, которые загрузил и посмотрел пользователь, раскрыв его историю просмотра. Операторы публичных сетей Wi-Fi, интернет-провайдеры и спецслужбы могут собирать эти данные без особых усилий», — объясняют исследователи. Разработчики обнаружили, что TikTok уязвим к атакам посредника. По сути, хакеры могут изменить передачу контента и заменить пользовательские видео на собственные. С помощью этой уязвимости разработчики загрузили фейковое видео о коронавирусе в официальный аккаунт ВОЗ и в целом ряде популярных профилей.
Чтобы все это провернуть, Майск и Барки обманули приложение TikTok. Они заставили его подключиться к фейковому серверу, который имитировал серверы CDN TikTok. Это можно сделать получив прямой доступ к маршрутизатору, к которому подключен пользователь. Разработчики ничего не меняли на серверах TikTok. Фейковые ролики увидят только те, кто подключился к их домашней сети. Это не значит, что подобный подход нельзя использовать для нанесения значительного ущерба. Если хакеры смогут взломать популярный DNS-сервер, то смогут выложить фейковую информацию, новости или оскорбительные видео в широких масштабах.
