В TikTok обнаружили уязвимость, позволяющую публиковать ролики от имени чужих аккаунтов

В приложении TikTok обнаружили уязвимость, позволяющую хакерам публиковать ролики от имени чужих учетных записей. Об этом пишет TJournal.

Недостаток обнаружили исследователи в области IT-безопасности Томми Майск и Талал Хардж Барки. Им удалось разместить в лентах нескольких популярных в соцсети аккаунтов, включая официальный профиль Всемирной организации здравоохранения, фейковые видео о коронавирусе.

Майск и Барки объяснили, что соцсеть использует незашифрованный протокол HTTP вместо более безопасного HTTPS. Это позволяет владельцам публичных сетей Wi-Fi, интернет-провайдерам и правительственным службам получать историю просмотров любых пользователей приложения.

Исследователи смогли изменить передачу контента и подменить реальные видео пользователя на фейковые с помощью DNS-атаки на сеть. После этого они опубликовали ролик с демонстрацией того, каким образом они разместили видео с ложной информацией в верифицированном аккаунте ВОЗ.

Как добавляет издание, разработчики подменяли ролики не на сервере TikTok, а только в домашней сети. Это означает, что изменения увидят только пользователи, которые используют их роутер. Но исследователи считают, что уязвимость можно использовать в больших масштабах, если хакеры взломают популярный DNS-сервер.

• Ранее сообщалось, что модераторы TikTok получили указания не пропускать видео с некрасивыми или бедными людьми.
• Американским военным запретили пользоваться TikTok.