В популярной соцсети нашли возможность публиковать ролики под чужими аккаунтами
В популярной соцсети TikTok обнаружили возможность публикации роликов под чужими аккаунтами. Уязвимость нашли исследователи в области безопасности Талал Хадж Бакри и Томми Майск, информация о проблеме опубликована в их блоге.
По словам специалистов, хакеры могут воспользоваться тем, что соцсеть применяет незашифрованный протокол HTTP вместо более безопасного HTTPS. Так, они продемонстрировали атаку на сеть с целью подменить контент, который будет показываться пользователю.
В примере им удалось заменить публикации официального аккаунта Всемирной организации здравоохранения (ВОЗ) на фальшивые, хотя визуально они указаны как от верифицированного аккаунта. Таким же образом они успешно изменили посты, которые публиковали TikTok-блогерши, на собственные фейки. В качестве ложной информации они показывали популярные мифы о коронавирусе.
Бакри и Майск не подменяли ролики на сервере TikTok, только в домашней сети, но приложение не определило каких-либо попыток взлома и показывало внесенный не пользователями соцсети контент от их имени. Специалисты подозревают, что уязвимость можно использовать в более широких масштабах. Например, в случае успешной атаки на публичные сети Wi-Fi или VPN-сети киберпреступники смогут подменить ролики для всех юзеров, подключенных к ним.