В TikTok нашли уязвимость, которая позволяет публиковать видео в чужих аккаунтах
Исследователи обнаружили уязвимость в TikTok. Она позволяет хакерам публиковать видео от имени чужих аккаунтов, пишет Mashable.
Что случилось
Разработчики Томми Майск и Талал Хардж Барки обнаружили уязвимость в TikTok, которая позволяет публиковать видео в чужих аккаунтах.
Соцсеть использует сети доставки контента (CDN) для более эффективной передачи данных по всему миру. Для повышения производительности CDN передают данные по незашифрованному протоколу HTTP вместо более безопасного HTTPS. Это ставит под угрозу конфиденциальность пользователей.
«Любой маршрутизатор между приложением TikTok и CDN может легко составить список всех видео, которые загрузил и посмотрел пользователь, раскрыв его историю просмотра. Операторы публичных сетей Wi-Fi, интернет-провайдеры и спецслужбы могут собирать эти данные без особых усилий», — объясняют исследователи.
Разработчики обнаружили, что TikTok уязвим к атакам посредника. По сути, хакеры могут изменить передачу контента и заменить пользовательские видео на собственные. С помощью этой уязвимости разработчики загрузили фейковое видео о коронавирусе в официальный аккаунт ВОЗ и в целом ряде популярных профилей.
Чтобы все это провернуть, Майск и Барки обманули приложение TikTok. Они заставили его подключиться к фейковому серверу, который имитировал серверы CDN TikTok. Это можно сделать получив прямой доступ к маршрутизатору, к которому подключен пользователь. Разработчики ничего не меняли на серверах TikTok. Фейковые ролики увидят только те, кто подключился к их домашней сети.
Это не значит, что подобный подход нельзя использовать для нанесения значительного ущерба. Если хакеры смогут взломать популярный DNS-сервер, то смогут выложить фейковую информацию, новости или оскорбительные видео в широких масштабах.