Приложение TikTok для iOS и Android загружает определенный контент через незащищенное HTTP-соединение, оставляя видео и другие данные уязвимыми для хакерских атак.
Приложение TikTok по-прежнему загружает некоторый контент, включая видео, по незащищенному HTTP-соединению. Изображение предоставлено: Kon Karampelas
Разработчики Talal Haj Baktry и Tommy Mysk привыкли исследовать уязвимости в популярных приложениях. В марте дуэт обнаружил ошибку, которая позволяла таким приложениям, как TikTok, просматривать содержимое буфера обмена пользователя iOS.
Теперь Baktry и Mysk вернулись с новым исследованием для приложения TikTok, популярной платформы потокового видео с более чем 800 миллионами пользователей в месяц. Согласно анализу сетевого трафика, выполненному дуэтом, последние версии приложения TikTok по-прежнему полагаются на незашифрованный HTTP для подключения к сети доставки контента компании (CDN).
Поскольку соединение не зашифровано, это означает, что история просмотра видео пользователя уязвима для перехвата, но использование HTTP вместо более безопасного HTTPS открывает двери для более коварных тактик, включая атаки «человек посередине» (MITM).
Плохой актер в локальной сети может, например, заменить любое видео на поддельное.
В качестве подтверждения концепции, дуэт создал поддельный сервер, который имитирует серверы CDN TikTok. Затем они использовали методы MITM, чтобы обмануть приложение TikTok, полагая, что их мошеннический сервер является законным. Оттуда это было довольно тривиально, чтобы поставить поддельные клипы.
В качестве примера дуэт заменил официальные клипы Красного Креста и Всемирной организации здравоохранения на клипы, заполненные дезинформацией о коронавирусе.
«Мы успешно перехватили трафик TikTok и обманули приложение, чтобы показывать наши собственные видео, как если бы они были опубликованы популярными и проверенными аккаунтами», — написал дуэт. «Это делает идеальный инструмент для тех, кто неустанно пытается загрязнить Интернет вводящими в заблуждение фактами».
Эта конкретная атака требует доступа к конфигурациям маршрутизатора, а это означает, что он, скорее всего, будет эксплуатироваться операторами Wi-Fi. Но использование HTTP все еще означает, что TikTok могут быть использованы мошенническими точками доступа, услугами VPN, провайдерами интернет-услуг и спецслужбами.
Похоже, что TikTok передает только определенные данные через HTTP, включая видео, фотографии профиля и все еще предварительные изображения клипов. Но видео — это, конечно, главная и самая важная особенность платформы социальных сетей.
Большинство онлайн-сервисов и веб-сайтов используют HTTPS, что устраняет многие уязвимости своего незащищенного партнера. Apple и Google оба требуют, чтобы приложения использовали HTTPS-соединения, но все же предлагают опцию отказа для обратной совместимости.
