В приложении TikTok обнаружили уязвимость, позволяющую хакерам публиковать ролики от имени чужих учетных записей. Об этом пишет TJournal.
Недостаток обнаружили исследователи в области IT-безопасности Томми Майск и Талал Хардж Барки. Им удалось разместить в лентах нескольких популярных в соцсети аккаунтов, включая официальный профиль Всемирной организации здравоохранения, фейковые видео о коронавирусе.
Майск и Барки объяснили, что соцсеть использует незашифрованный протокол HTTP вместо более безопасного HTTPS. Это позволяет владельцам публичных сетей Wi-Fi, интернет-провайдерам и правительственным службам получать историю просмотров любых пользователей приложения.
Исследователи смогли изменить передачу контента и подменить реальные видео пользователя на фейковые с помощью DNS-атаки на сеть. После этого они опубликовали ролик с демонстрацией того, каким образом они разместили видео с ложной информацией в верифицированном аккаунте ВОЗ.
Как добавляет издание, разработчики подменяли ролики не на сервере TikTok, а только в домашней сети. Это означает, что изменения увидят только пользователи, которые используют их роутер. Но исследователи считают, что уязвимость можно использовать в больших масштабах, если хакеры взломают популярный DNS-сервер.
- Ранее сообщалось, что модераторы TikTok получили указания не пропускать видео с некрасивыми или бедными людьми.
- Американским военным запретили пользоваться TikTok.