В TikTok обнаружили уязвимость, позволяющую хакерам публиковать ролики под именем чужих аккаунтов в локальной сети

Разработчики подменили ролики верифицированного аккаунта ВОЗ на фейковые видео о коронавирусе.

Исследователи в области безопасности Томми Майск (Tommy Mysk) и Талал Хардж Барки (Talal Haj Bakry) обнаружили в TikTok уязвимость, позволяющую хакерам публиковать ролики от имени чужих аккаунтов. Они сделали так, чтобы в лентах нескольких популярных в соцсети аккаунтов, включая официальный профиль ВОЗ, появились фейковые видео о коронавирусе Covid-19.

Проблема заключается в том, что соцсеть использует незашифрованный протокол HTTP вместо более безопасного HTTPS. Из-за этого владельцы публичных сетей Wi-Fi, интернет-провайдеры и правительственные службы могут получать историю просмотров любых пользователей TikTok, отмечают исследователи.

Из-за использования протокола HTTP соцсеть поддаётся атакам посредника. Исследователи смогли изменить передачу контента и подменить реальные видео пользователя на фейковые, проведя DNS-атаку на сеть. После этого они опубликовали ролик с демонстрацией того, как они поместили видео с ложной информацией в верифицированный аккаунт ВОЗ.

Разработчики подменяли ролики не на сервере TikTok, а только в домашней сети. Это означает, что изменения увидят только те пользователи, которые используют их роутер. Однако исследователи считают, что уязвимость можно использовать в более широких масштабах, если хакеры взломают популярный DNS-сервер.

В начале 2020 года компания Check Point, работающая в сфере кибербезопасности, обнаружила уязвимость, позволяющую хакерам управлять чужими аккаунтами в TikTok. После этого команда Майска и Бакри нашла проблему безопасности, которая предоставляла приложению доступ к буферу обмена в iPhone.

#новости #tiktok #безопасность