Уязвимость TikTok позволяет взламывать чужие аккаунты
Сервис быстрых видео TikTok имеет огромную популярность по всему миру, занимая первые места по скачиваниям в App Store и Google Play. Многие знаменитости и мировые организации заводят там аккаунты, и, как оказалось, эти аккаунты можно с легкостью взломать.
Специалисты по безопасности Томми Мыск и Талал Хай Бакри обнаружили опасную уязвимость в мобильном клиенте сервиса TikTok. Об этом сообщает Информатор Tech, ссылаясь на блог Mysk.
Исследователи обнаружили в коде популярного приложения баг, который позволяет публиковать видеоролики от имени других пользователей, перехватывая данные их аккаунтов. Как оказалось, для размещения контента TikTok задействует устаревший веб-протокол HTTP, от которого разработчики отказались практически во всем сегменте интернета в пользу более надежного HTTPS. В связи с тем, что HTTP практически не защищен от атак, при запуске TikTok в местах с публичными Wi-Fi сетями злоумышленники могут перехватить историю посещений и личные данные владельца учетной записи. «Любой маршрутизатор между приложением TikTok и CDN TikTok может легко считать все видео, которые пользователь скачал и посмотрел, раскрывая историю их просмотра. Операторы общественного Wi-Fi, интернет-провайдеры и спецслужбы могут собирать эти данные без особых усилий», - говорят исследователи.
Для перехвата данных применяется атака типа MitM - «человек посередине» посредством отправки поддельного пакета и дальнейшего перенаправления всего трафика приложения через собственный сервер. Для демонстрации уязвимости эксперты уже провели несколько показательных взломов, разместив связанные с коронавирусом видеоролики от имени Всемирной организации здравоохранения, Красного Креста и знаменитостей. Они отметили, что на сегодня TikTok остается единственным приложением, использующим HTTP для отправки данных. Таким образом исследователи показали масштаб проблемы, ведь злоумышленники могут перехватить аккаунт всемирной организации или известной личности и распространять ложную информацию, которая может навредить людям. Стоит отметить, что за распространение ряда материалов, включая дезинформацию о коронавирусной инфекции, аккаунт может быть заблокирован.
