В популярной соцсети TikTok обнаружили возможность публикации роликов под чужими аккаунтами. Уязвимость нашли исследователи в области безопасности Талал Хадж Бакри (Talal Haj Bakry) и Томми Майск (Tommy Mysk), информация о проблеме опубликована в их блоге.
По словам специалистов, хакеры могут воспользоваться тем, что соцсеть применяет незашифрованный протокол HTTP вместо более безопасного HTTPS. Так, они продемонстрировали атаку на сеть с целью подменить контент, который будет показываться пользователю.
В примере им удалось заменить публикации официального аккаунта Всемирной организации здравоохранения (ВОЗ) на фальшивые, хотя визуально они указаны как от верифицированного аккаунта. Таким же образом они успешно изменили посты, которые публиковали TikTok-блогерши, на собственные фейки. В качестве ложной информации они показывали популярные мифы о коронавирусе.
Бакри и Майск не подменяли ролики на сервере TikTok, только в домашней сети, но приложение не определило каких-либо попыток взлома и показывало внесенный не пользователями соцсети контент от их имени. Специалисты подозревают, что уязвимость можно использовать в более широких масштабах. Например, в случае успешной атаки на публичные сети Wi-Fi или VPN-сети киберпреступники смогут подменить ролики для всех юзеров, подключенных к ним.
В январе сообщалось, что в TikTok обнаружили несколько уязвимостей, позволяющих получить личные данные ее пользователей. Так, в приложении оказалось возможным с помощью отправки СМС-сообщений получить доступ к аккаунтам юзеров соцсети.