Уязвимость в TikTok позволяет подменять видео на чужих страницах

Эксперты продемонстрировали возможность подмены роликов в TikTok на чужих страницах.

Разработчики ПО Томми Майск и Талал Хадж Бакри обнаружили в сервисе TikTok уязвимость, позволяющую подменять любые видео на чужих страницах.

Как пояснили разработчики, для более быстрого обмена данными TikTok использует сети доставки контента (Content Delivery Networks, CDN), которые в свою очередь используют HTTP для большей производительности. Выбор в пользу HTTP вместо более безопасного HTTPS ставит пользователей под угрозу.

«Любой маршрутизатор между приложением TikTok и используемым им CDN может с легкостью регистрировать все загруженные и просмотренные пользователем видео, тем самым делая доступной всю его историю просмотров. Операторы открытых сетей Wi-Fi, интернет-провайдеры и разведывательные службы могут без труда собирать эти данные», — сообщили разработчики.

Apple и Google уже требуют от приложений обязательного использования HTTPS, однако для некоторых использующих HTTP разработчиков все же есть исключения.

Поскольку TikTok передает фотографии пользователей и видео через HTTP, пользователи сервиса рискуют стать жертвами атаки «человек посередине». Злоумышленники могут модифицировать контент в процессе его передачи и подменять видео, опубликованные пользователем, роликами на свое усмотрение.

С целью продемонстрировать эксплуатацию уязвимости Майск и Бакри загрузили фейковое видео на тему коронавируса и внедрили его в учетную запись TikTok, принадлежащую Всемирной организации здравоохранения (ВОЗ). Таким же способом разработчикам удалось загрузить поддельные ролики и на другие проверенные страницы, в том числе на страницы «Красного креста» и самого TikTok.

Для осуществления атаки Майск и Бакри настроили сервер, выдававший себя за сервер CDN, и обманным путем заставили приложение TikTok подключиться к нему. Как пояснили разработчики, этого можно добиться, если получить непосредственный доступ к маршрутизатору пользователя. То есть, для того чтобы пользователь увидел подложные ролики, он должен быть подключен к своему домашнему маршрутизатору.

Хотя подмена видео происходит не на сервере TikTok, это не делает ее менее опасной, считают исследователи.

Обсудить на странице: вконтакте, фейсбук, твиттер