TikTok взломали разработчики, чтобы продемонстрировать проблемы безопасности
Исследователи безопасности Томми Мыск и Талал Хадж Бакри обнаружили уязвимость в TikTok, которая может позволить хакерам размещать видео от имени других. Также разработчики опубликовали видео в нескольких популярных аккаунтах на TikTok, включая официальный аккаунт ВОЗ. Поддельное видео о коронавирусе COVID-19 появилось в аккаунте Всемирной организации здравоохранения.
Проблема в том, что социальная сеть использует незашифрованный протокол HTTP вместо более безопасного HTTPS. Из-за этого владельцы общедоступных сетей Wi-Fi, интернет-провайдеры и государственные службы могут получать историю просмотров любых пользователей Tik Tok , отмечают исследователи.
Благодаря использованию протокола HTTP, приложение поддаётся атакам хакеров. Исследователи смогли изменить контент и заменить реальные видео пользователя поддельными, проведя DNS-атаку в сети. После этого разработчики опубликовали видео, демонстрирующее, как они помещают видео с ложной информацией в проверенную учетную запись ВОЗ.
Разработчики не заменяли видео на сервере TikTok, а только в домашней сети. Это означает, что изменения увидят только те пользователи, которые используют их маршрутизатор. Тем не менее, исследователи считают, что уязвимость может быть использована в более широком масштабе. Потому что хакеры могут взломать популярные DNS-серверы.
