Vulnerabilitate TikTok permite încărcarea videoclipurilor false în conturile de utilizator

Vulnerabilitatea TikTok ar putea permite încărcarea videoclipurilor false

Dezvoltatorii de la Mysk Inc. au găsit o interesantă vulnerabilitate TikTok care permite încărcarea videoclipurilor false în conturile de utilizator.

Detaliind concluziile lor într-o postare, ei au explicat că eroarea există din cauza transmiterii datelor TikTok prin HTTP. Aceasta permite oricărui făptuitor să efectueze atacuri MiTM și să se amestece cu videoclipuri și fotografii ale utilizatorilor. Aceste atacuri reprezintă, de asemenea, o amenințare pentru conturile verificate și populare.

Cercetătorii au dezvăluit că TikTok se bazează pe rețelele de livrare a conținutului (CDN) pentru distribuția de date care transmite media prin HTTP. În timp ce aceasta asigură o viteză rapidă, aceasta compromite confidențialitatea utilizatorilor. Oricine poate intercepta datele transmise prin protocolul nesecurizat folosind instrumente precum Wireshark, inclusiv videoclipuri, previzualizări video și fotografii de profil.

În consecință, această vulnerabilitate permite, de asemenea, unui atacator să schimbe aceste fișiere media pe conturile de utilizator cu cele false. După cum au declarat cercetătorii,

Atacatorul poate transmite mai multe fapte false într-un videoclip spam trimis cu un videoclip care aparține unei celebrități sau a unui cont de încredere.

Schimbarea videoclipurilor nu a fost atât de dificilă pentru cercetători. Au imitat comportamentul serverelor CDN TikTok pe propriul server și au direcționat aplicația către aceasta. Din cauza acestei sugestii, aplicația TikTok nu a putut distinge între serverele originale și cele false. Prin urmare, cercetătorii ar putea schimba cu ușurință videoclipuri pe conturi de utilizator legit.

Următoarele videoclipuri demonstrează modul în care cercetătorii au schimbat videoclipuri pe feedul OMS (video 1) și alte conturi (video 2).

Niciun patch disponibil încă

TikTok folosește în continuare HTTP atât pe platformele iOS cât și pe Android, așa cum au confirmat cercetătorii.

În momentul scrierii, TikTok pentru iOS (versiunea 15.5.6) și TikTok pentru Android (versiunea 15.7.4) încă folosesc HTTP necriptate pentru a vă conecta la CD-ul TikTok.

Astfel, deocamdată nu este disponibil nici un patch. La începutul acestui an, cercetătorii au descoperit, de asemenea, multiple vulnerabilități grave în TikTok, care ar putea permite amestecarea cu conturile utilizatorilor. Cu toate acestea, TikTok a remediat defectele în urma raportului.

Lasa un comentariu

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.