По словам разработчиков Tommy Mysk и Talal Haj Bakry, уязвимости они обнаружили в популярной социальной сети TikTok, мог позволить хакер заменить их видео пользователь с подделкой.
Два разработчика опубликовали свои выводы в одном блоге, заявив, что некоторые из его методов платформы, которые не являются безопасными, создали вакуум безопасности, который может быть использован злоумышленниками.
Как и другие приложений В социальных сетях TikTok использует CDN (сеть доставки контента) для быстрой передачи через нее огромных объемов видео и других данных. интернет, Однако в случае TikTok CDN использует менее безопасное HTTP-соединение для повышения производительности.
Известно, что злоумышленник, правительство или интернет-провайдер могут легко расшифровать HTTP-трафик. Таким образом, злонамеренный агент может получить доступ к видео пользователя TikTok, а также к истории отслеживания и загруженным видео.
Ο атакующий это может даже заменить эти видео фальшивыми или видео от всех счета.
Чтобы обосновать свои утверждения, Миск и Бакри сами создали концептуальное подтверждение, где они загрузили видео с дезинформацией о нем. коронавирусна официальном счете TikTok Всемирной организации здравоохранения (ВОЗ).
Разработчики обманули приложение TikTok с одного устройство которые были подключены к своей домашней сети WiFi, чтобы отправлять запросы на сервер Предназначен для имитации CDN TikTok.
Таким образом, взяв под свой контроль сервер, который существует между приложением TikTok и его CDN, разработчики могут отображать и импортировать все, что захотят, просто изменяя регистрационную информацию DNS на сервере, каждый раз делая приложение перенаправленным на поддельный сервер.
Однако это не означает, что нельзя было нанести ущерб. «Если бы популярный DNS-сервер был скомпрометирован и включил вредоносное видео, как мы показали ранее, вводящая в заблуждение информация, фальшивые новости или оскорбительные видеоролики будут показаны в большом масштабе, и это то, что можно сделать», - сказали они. разработчиков в их посте.
Социальная сеть уже привлекла внимание властей, в основном из-за того, что ее штаб-квартира находится в Китай и есть подозрения, что он может собирать личные данные пользователей.
Greek
Chinese (Simplified)
English
Greek
Russian