В популярной соцсети TikTok обнаружили возможность публикации роликов под чужими аккаунтами. Уязвимость нашли исследователи в области безопасности Талал Хадж Бакри (Talal Haj Bakry) и Томми Майск (Tommy Mysk), информация о проблеме опубликована в их блоге.
По словам специалистов, хакеры могут воспользоваться тем, что соцсеть применяет незашифрованный протокол HTTP вместо более безопасного HTTPS. Так, они продемонстрировали атаку на сеть с целью подменить контент, который будет показываться пользователю.
Материалы по теме
00:05 — 10 ноября 2019
«Многие хвастаются своим богатством и сходят с ума»
Они помогают создавать из обычных людей кумиров. Кто стоит за самыми популярными блогерами00:03 — 18 ноября 2019
Открытый интернет
Власти готовы давать деньги блогерам и инвестировать в YouTube-шоу. Зачем им это нужно?
В примере им удалось заменить публикации официального аккаунта Всемирной организации здравоохранения (ВОЗ) на фальшивые, хотя визуально они указаны как от верифицированного аккаунта. Таким же образом они успешно изменили посты, которые публиковали TikTok-блогерши, на собственные фейки. В качестве ложной информации они показывали популярные мифы о коронавирусе.
Бакри и Майск не подменяли ролики на сервере TikTok, только в домашней сети, но приложение не определило каких-либо попыток взлома и показывало внесенный не пользователями соцсети контент от их имени. Специалисты подозревают, что уязвимость можно использовать в более широких масштабах. Например, в случае успешной атаки на публичные сети Wi-Fi или VPN-сети киберпреступники смогут подменить ролики для всех юзеров, подключенных к ним.
В январе сообщалось, что в TikTok обнаружили несколько уязвимостей, позволяющих получить личные данные ее пользователей. Так, в приложении оказалось возможным с помощью отправки СМС-сообщений получить доступ к аккаунтам юзеров соцсети.
Что происходит в России и в мире? Объясняем на нашем YouTube-канале. Подпишись!
Станьте первым комментатором