Разработчики подменили ролики верифицированного аккаунта ВОЗ на фейковые видео о коронавирусе.
Исследователи в области безопасности Томми Майск (Tommy Mysk) и Талал Хардж Барки (Talal Haj Bakry) обнаружили в TikTok уязвимость, позволяющую хакерам публиковать ролики от имени чужих аккаунтов. Они сделали так, чтобы в лентах нескольких популярных в соцсети аккаунтов, включая официальный профиль ВОЗ, появились фейковые видео о коронавирусе Covid-19.
Проблема заключается в том, что соцсеть использует незашифрованный протокол HTTP вместо более безопасного HTTPS. Из-за этого владельцы публичных сетей Wi-Fi, интернет-провайдеры и правительственные службы могут получать историю просмотров любых пользователей TikTok, отмечают исследователи.
Из-за использования протокола HTTP соцсеть поддаётся атакам посредника. Исследователи смогли изменить передачу контента и подменить реальные видео пользователя на фейковые, проведя DNS-атаку на сеть. После этого они опубликовали ролик с демонстрацией того, как они поместили видео с ложной информацией в верифицированный аккаунт ВОЗ.
Разработчики подменяли ролики не на сервере TikTok, а только в домашней сети. Это означает, что изменения увидят только те пользователи, которые используют их роутер. Однако исследователи считают, что уязвимость можно использовать в более широких масштабах, если хакеры взломают популярный DNS-сервер.
В начале 2020 года компания Check Point, работающая в сфере кибербезопасности, обнаружила уязвимость, позволяющую хакерам управлять чужими аккаунтами в TikTok. После этого команда Майска и Бакри нашла проблему безопасности, которая предоставляла приложению доступ к буферу обмена в iPhone.