В TikTok обнаружена критическая уязвимость

14 апреля 2020, 10:50 / Технологии → Интернет

Эксперты по безопасности обнаружили опасную уязвимость в одном из самых скачиваемых из App Store и Google Play приложений. Речь о мобильном клиенте сервиса TikTok и баге, с помощью которого хакеры могут загружать видеоролики от имени иного пользователя без его ведома.

Как выяснилось, для размещения контента TikTok задействует веб-протокол HTTP, от которого создатели отказались практически во всём сегменте интернета в пользу более надёжного HTTPS.

В связи с тем, что HTTP практически не защищён от атак, при запуске TikTok в местах с публичными Wi-Fi сетями злоумышленники могут перехватить историю посещений и личные данные владельца учётной записи. Для этого применяется атака типа MitM — «человек посередине» посредством отправки поддельного пакета и дальнейшего перенаправления всего трафика приложения через собственный сервер.

Для демонстрации уязвимости специалисты уже провели несколько показательных взломов, разместив связанные с коронавирусом видеоролики от имени Всемирной организации здравоохранения и Красного Креста. Они отметили, что на сегодня TikTok остаётся единственным приложением, использующим HTTP для отправки данных.

Ссылки