В TikTok обнаружена уязвимость, которая позволяет заменить любой ролик
В приложении TikTok есть уязвимость, которая дает возможность поменять любое видео в аккаунте пользователя, а также перехватить историю просмотров ролика. Об этом стало известно благодаря работе разработчиков Талал Хадж Бакри и Томми Майска.
Сначала они выдвинули теорию, что в сервисе существует такая возможность. А потом для ее проверки они создали фейковый сервис. Он имитирует CDN-серверы приложения. Дальше они устроили атаку на сеть, а после этого изменили ролики в нескольких аккаунтах популярных блогеров. Например, они опубликовали ненастоящие ролики о коронавирусе в официальных аккаунтах ВОЗ и Красного Креста.
Тут стоит отметить, что видео были изменены в домашней сети, а не на самом сервере TikTok, так что подписчики не видели этих фейковых роликов. Однако эту уязвимость можно использовать и в более глобальных целях.
Разработчики добавляют, что из-за использования приложением незашифрованных протоколов HTTP вместо HTTPS, есть доступ к их уязвимостями для подмены роликов в разных аккаунтах.