В TikTok обнаружили уязвимость, позволяющую хакерам публиковать ролики под именем чужих аккаунтов в локальной сети Статьи редакции
Разработчики подменили ролики верифицированного аккаунта ВОЗ на фейковые видео о коронавирусе.
Исследователи в области безопасности Томми Майск (Tommy Mysk) и Талал Хардж Барки (Talal Haj Bakry) обнаружили в TikTok уязвимость, позволяющую хакерам публиковать ролики от имени чужих аккаунтов. Они сделали так, чтобы в лентах нескольких популярных в соцсети аккаунтов, включая официальный профиль ВОЗ, появились фейковые видео о коронавирусе Covid-19.
Проблема заключается в том, что соцсеть использует незашифрованный протокол HTTP вместо более безопасного HTTPS. Из-за этого владельцы публичных сетей Wi-Fi, интернет-провайдеры и правительственные службы могут получать историю просмотров любых пользователей TikTok, отмечают исследователи.
Из-за использования протокола HTTP соцсеть поддаётся атакам посредника. Исследователи смогли изменить передачу контента и подменить реальные видео пользователя на фейковые, проведя DNS-атаку на сеть. После этого они опубликовали ролик с демонстрацией того, как они поместили видео с ложной информацией в верифицированный аккаунт ВОЗ.
Разработчики подменяли ролики не на сервере TikTok, а только в домашней сети. Это означает, что изменения увидят только те пользователи, которые используют их роутер. Однако исследователи считают, что уязвимость можно использовать в более широких масштабах, если хакеры взломают популярный DNS-сервер.
В начале 2020 года компания Check Point, работающая в сфере кибербезопасности, обнаружила уязвимость, позволяющую хакерам управлять чужими аккаунтами в TikTok. После этого команда Майска и Бакри нашла проблему безопасности, которая предоставляла приложению доступ к буферу обмена в iPhone.
В мозгу тиктокеров тоже обнаружили уязвимость, позволяющую убеждать людей творить необъяснимо тупую хуету
Считай что это высшее образование почти бесплатно. Не всегда со старта можно делать заебись
Зачем жить, если периодически не творить хуету за которую иногда стыдно?
@кринжополис новость не совсем корректна: уязвимость не позволяет публиковать ролики под именем чужих аккаунтов. Это чистая MITM (man-in-the-middle) атака: если вы и злоумышленник находитесь внутри одной сети (wifi, скажем), то можно сделать так, что вам будет КАЗАТЬСЯ, что какая-нибудь Билли Айлиш написала «Вася из 7б лох». Но увидите это только вы, а не весь мир.
Короче, звучать должно так:
«В TikTok обнаружили уязвимость, позволяющую хакерам делать вид, что кто-то опубликовал то, что он не публиковал. Но только в локальной сети»
Комментарий недоступен
Комментарий недоступен
Шёл 2020 год. Где-то ещё были сервисы с многомиллионной аудиторией и не шифрованным трафиком.
Вообще отсутствие HTTPS это позор. MITM атаку сделать проще простого. Даже удивительно что в ТикТоке эту дыру раньше не нашли. Но я догадываюсь никому он не был интересен)
Уверен, что нашли давно, просто нахрена о ней трезвонить на весь мир?
Хуйня а не дыра. Если у тебя есть доступ к компьютеру и сети пользователя то ты можешь его вообще в матрице держать, подменять все видео и сайты и убедить пользователя что он проспал 20 лет и на дворе 2040 год.
Ну вот нахуя ты людей в заблуждение вводишь? Если у тебя есть доступ только к сети пользователя, то нихуя ты не сделаешь с HTTPS.
А это что?😑
Какой нахрен http в 2020, его уже должны были давно убрать. Удивлён, что уязвимость обнаружили спецы, а не какие-нибудь школьники на карантине/
Комментарий недоступен
Да кто этот ваш тикток нахуй
Да кто такой этот ваш WhatsApp. Кто такой Facebook. Кто такой Гугл чё за клоуны вообще, у нас Яндекс есть уже. Все они так начинали. Каким-бы чмошным этот продукт ни был, в итоге он стоит пару миллионов долларов. А иногда и миллиарды. Так что попробуй ещё придумай, а больше даже, раскрути такое фуфло) Хороший, удобный путь в шоколадное бытие.
Кто такой Angry Birds. То же самое.
Я не понимаю - это они спецом или тупые?🤔
Уже же даже бесплатный Let's Encrypt есть, в чём проблема то?!
Комментарий недоступен
Дилетанты в среде разработки, и отсутствующий аудит безопасности. По всей видимости, ещё и костыли для обхода deprecated ajax over http
Наверно там Китайский аналог Let's Encrypt
Кстати чекпоинт израильский и у них отличный антивирусник есть.
удивительная (нет) история!
Это как Сбербанк взломать через артмани?
Самое шокирующее в этой новости это то, что у ВОЗ есть официальный аккаунт в TikTok.
Комментарий недоступен
Нет, в угоду производительности:
TikTok’s CDN chooses to transfer videos and other media data over HTTP. While this improves the performance of data transfer, it puts user privacy at risk. HTTP traffic can be easily tracked, and even altered by malicious actors.
"Разработчики не подменяли ролики не на сервере TikTok, а только в домашней сети." Чиво блять?
Комментарий недоступен
Совсем недавно скачал тикток, смотрел аккаунты разных людей, мусорные ролики набирают больше просмотров чем интересные.
Не очень понятные видео, которые не понятны смысловой логике.
Есть интересный контент, только у себя в рекомендациях видел их мало. Принял решение удалить.