В TikTok обнаружили уязвимость, позволяющую хакерам публиковать ролики под именем чужих аккаунтов

Исследователи в области безопасности Томми Майск и Талал Хардж Барки обнаружили в TikTok уязвимость, позволяющую хакерам публиковать ролики от имени чужих аккаунтов.

Как передает Day.Az со ссылкой на TJournal, Они сделали так, чтобы в лентах нескольких популярных в соцсети аккаунтов, включая официальный профиль ВОЗ, появились фейковые видео о коронавирусе COVID-19.

Проблема заключается в том, что соцсеть использует незашифрованный протокол HTTP вместо более безопасного HTTPS. Из-за этого владельцы публичных сетей Wi-Fi, интернет-провайдеры и правительственные службы могут получать историю просмотров любых пользователей TikTok, отмечают исследователи.

Из-за использования протокола HTTP соцсеть поддается атакам посредника. Исследователи смогли изменить передачу контента и подменить реальные видео пользователя на фейковые, проведя DNS-атаку на сеть. После этого они опубликовали ролик с демонстрацией того, как они поместили видео с ложной информацией в верифицированный аккаунт ВОЗ.

Разработчики не подменяли ролики на сервере TikTok, а только в домашней сети. Это означает, что изменения увидят только те пользователи, которые используют их роутер. Однако исследователи считают, что уязвимость можно использовать в более широких масштабах, если хакеры взломают популярный DNS-сервер.

В начале 2020 года компания Check Point, работающая в сфере кибербезопасности, обнаружила уязвимость, позволяющую хакерам управлять чужими аккаунтами в TikTok. После этого команда Майска и Бакри нашла проблему безопасности, которая предоставляла приложению доступ к буферу обмена в iPhone.