Специалистами Томми Миском и Талалом были обнаружены уязвимости в социальной сети TikTok, которая в последнее время набирает невиданную популярность, догнав Instagram по количеству загрузок в магазине приложений Google.
Выявленная дыра в безопасности дает возможность изменить и удалить видео из аккаунтов других юзеров. Хакерам удалось опубликовать на страницах нескольких популярных аккаунтов фейковое видеоролик про коронавирус. Более того, Всемирная организация здравоохранения, точнее, ее аккаунт в TikTok также был подвергнут атаке, вследствие которой и был опубликован тот самый ролик.
Объяснение простое – соцсеть использует не HTTPS, а незащищенный HTTP. Из-за этого любой, контролирующий траффик, будь-то провайдер или даже госслужба может получить данные об истории юзеров соцсети TikTok.
Соцсеть податливая к атакам именно из-за незащищенного протокола HTTP. Контент был подменен благодаря проведении DNS-атаки, после чего был опубликован видеоролик с демонстрацией данного процесса.
Стоит понимать, что хакеры не заменили видеоролик на серверах соцсети, а заменили это только в рамках домашней сети, в демонстрационном качестве. Соответственно, данную замену увидят лишь юзеры, использующие тот же маршрутизатор. Тем не менее, хакеры считают, что данная проблема не ограничивается столь малым масштабом.
Видео от этих исследователей:
