[svoboda] В TikTok нашли уязвимость, позволяющую подменять ролики пользователей
Здравствуйте, свобода.
Исследователи в области кибербезопасности Томми Майск и Талал Хардж Бакри
нашли в популярном сервисе в TikTok
уязвимость,
которая позволяет хакерам размещать ролики от имени чужих учетных записей. В
качестве эксперимента Майск и Бакри добавили в ленты пользователей TikTok
фейковые видео о коронавирусе, якобы опубликованные Всемирной организацией
здравоохранения (ВОЗ).
Как пишет
SecurityLab,
для более быстрого обмена данными TikTok использует сети доставки контента
(Content Delivery Networks, CDN), которые в свою очередь используют
незащищенный
протокол HTTP для большей производительности. Выбор в пользу HTTP вместо
более безопасного HTTPS ставит пользователей под угрозу.
"Любой маршрутизатор между приложением TikTok и используемым им CDN может с
легкостью регистрировать все загруженные и просмотренные пользователем
видео,
тем самым делая доступной всю его историю просмотров. Операторы открытых
сетей Wi-Fi, интернет-провайдеры и разведывательные службы могут без труда
собирать
эти данные", - сообщили исследователи.
Кроме того, использование HTTP позволяет хакерам атаковать TikTok и
подменять настоящие видеоролики того или иного пользователя фейковыми, пишет
TJ.
Чтобы доказать реальность угрозы, Майск и Бакри устроили атаку "человек
посередине", загрузив фейковое видео о коронавирусе в учетную запись ВОЗ в
TikTok.
