Специалисты по сетевой безопасности Томми Миск (Tommy Mysk) и Талал Хадж Бакри (Talal Haj Bakry) обнаружили уязвимость в крайне популярном сервисе TikTok, который недавно преодолел отметку в 1 млрд скачиваний в Google Play Store.
Эта уязвимость позволяет злоумышленникам заменять и удалять видеоролики в аккаунтах других пользователей. Они опубликовали фейковый видеоролик о COVID-19 в нескольких популярных аккаунтах на TikTok, включая официальный аккаунт Всемирной организации здравоохранения (ВОЗ).
Томми Миск и Талал Хадж Бакри объясняют социальная сеть TikTok использует незашифрованный протокол HTTP вместо более безопасного HTTPS. Из-за этого владельцы общедоступных сетей Wi-Fi, интернет-провайдеры и государственные службы могут получать историю просмотров всех пользователей TikTok.
Из-за использования протокола HTTP социальная сеть легко поддается атакам хакеров. Авторы исследования смогли изменить контент и заменить реальние видеоролики пользователей поддельными, проведя DNS-атаку в сети. После этого они опубликовали видео, демонстрирующее, как они помещают видео с ложной информацией в проверенную учетную запись ВОЗ.
Стоит отметить, что разработчики не заменяли видео на сервере TikTok, они сделали это для демонстрации только в домашней сети. Это означает, что изменения увидят только те пользователи, которые используют их маршрутизатор. Однако исследователи считают, что уязвимость может быть использована в более широком масштабе.