Уязвимость TikTok позволяет взламывать чужие аккаунты

Сервис быстрых видео TikTok имеет огромную популярность по всему миру, занимая первые места по скачиваниям в App Store и Google Play. Многие знаменитости и мировые организации заводят там аккаунты, и, как оказалось, эти аккаунты можно с легкостью взломать. Специалисты по безопасности Томми Мыск и Талал Хай Бакри обнаружили опасную уязвимость в мобильном клиенте сервиса TikTok. Об этом сообщает Информатор Tech, ссылаясь на блог Mysk. Исследователи обнаружили в коде популярного приложения баг, который позволяет публиковать видеоролики от имени других пользователей, перехватывая данные их аккаунтов. Как оказалось, для размещения контента TikTok задействует устаревший веб-протокол HTTP, от которого разработчики отказались практически во всем сегменте интернета в пользу более надежного HTTPS. В связи с тем, что HTTP практически не защищен от атак, при запуске TikTok в местах с публичными Wi-Fi сетями злоумышленники могут перехватить историю посещений и личные данные владельца учетной записи. «Любой маршрутизатор между приложением TikTok и CDN TikTok может легко считать все видео, которые пользователь скачал и посмотрел, раскрывая историю их просмотра. Операторы общественного Wi-Fi, интернет-провайдеры и спецслужбы могут собирать эти данные без особых усилий»,  - говорят исследователи.  https://youtu.be/pHt4jok7v5w Для перехвата данных применяется атака типа MitM — «человек посередине» посредством отправки поддельного пакета и дальнейшего перенаправления всего трафика приложения через собственный сервер. Для демонстрации уязвимости эксперты уже провели несколько показательных взломов, разместив связанные с коронавирусом видеоролики от имени Всемирной организации здравоохранения, Красного Креста и знаменитостей. Они отметили, что на сегодня TikTok остается единственным приложением, использующим HTTP для отправки данных. Таким образом исследователи показали масштаб проблемы, ведь злоумышленники могут перехватить аккаунт всемирной организации или известной личности и распространять ложную информацию, которая может навредить людям. Стоит отметить, что за распространение ряда материалов, включая дезинформацию о коронавирусной инфекции, аккаунт может быть заблокирован.     Для перехвата данных применяется атака типа MitM Ранее мы сообщали, что в TikTok и Instagram появились аккаунты «Коронавирус инфо». Также мы писали о том, что TikTok пожертвовал ВОЗ $10 миллионов для борьбы с коронавирусом.