Разработчики Талал Хадж Бакри (Talal Haj Bakry) и Томми Майск (Tommy Mysk) обнаружили уязвимость в приложении TikTok, которая позволяет подменять любое видео в аккаунте, а также перехватывать истории просмотров.
Чтобы проверить свою теорию, эксперты создали поддельный сервер, имитирующий CDN-серверы TikTok, провели атаку на сеть, а затем подменили видеоролики в некоторых популярных аккаунтах. В частности, разработчики разместили фейковые видео о коронавирусе в официальном профиле Красного Креста и ВОЗ.
Ролики в качестве эксперимента были подменены в домашней сети, а не на сервере TikTok. Но уязвимость можно использовать более глобально.
Исследователи отмечают, что из-за того, что TikTok использует незашифрованный протокол HTTP вместо HTTPS, многие службы могут воспользоваться уязвимостью и получить доступ к истории пользовательских просмотров.
Напомним, по данным Sensor Tower, TikTok является самым скачиваемым неигровым мобильным приложением в мире. В январе 2020 года количество загрузок TikTok и его китайской версии Douyin в магазинах приложений Google Play и App Store составило 104 млн.
Источник: Apple Insider
