Уязвимость в TikTok позволяет подменять видео на чужих страницах

Разработчики ПО Томми Майск (Tommy Mysk) и Талал Хадж Бакри (Talal Haj Bakry) обнаружили в сервисе TikTok уязвимость, позволяющую подменять любые видео на чужих страницах.

Как пояснили разработчики, для более быстрого обмена данными TikTok использует сети доставки контента (Content Delivery Networks, CDN), которые в свою очередь используют HTTP для большей производительности. Выбор в пользу HTTP вместо более безопасного HTTPS ставит пользователей под угрозу.

“Любой маршрутизатор между приложением TikTok и используемым им CDN может с легкостью регистрировать все загруженные и просмотренные пользователем видео, тем самым делая доступной всю его историю просмотров. Операторы открытых сетей Wi-Fi, интернет-провайдеры и разведывательные службы могут без труда собирать эти данные”, - сообщили разработчики.

Apple и Google уже требуют от приложений обязательного использования HTTPS, однако для некоторых использующих HTTP разработчиков все же есть исключения.

Поскольку TikTok передает фотографии пользователей и видео через HTTP, пользователи сервиса рискуют стать жертвами атаки “человек посередине”. Злоумышленники могут модифицировать контент в процессе его передачи и подменять видео, опубликованные пользователем, роликами на свое усмотрение.

С целью продемонстрировать эксплуатацию уязвимости Майск и Бакри загрузили фейковое видео на тему коронавируса и внедрили его в учетную запись TikTok, принадлежащую Всемирной организации здравоохранения (ВОЗ). Таким же способом разработчикам удалось загрузить поддельные ролики и на другие проверенные страницы, в том числе на страницы “Красного креста” и самого TikTok.

Для осуществления атаки Майск и Бакри настроили сервер, выдававший себя за сервер CDN, и обманным путем заставили приложение TikTok подключиться к нему. Как пояснили разработчики, этого можно добиться, если получить непосредственный доступ к маршрутизатору пользователя. То есть, для того чтобы пользователь увидел подложные ролики, он должен быть подключен к своему домашнему маршрутизатору.

Хотя подмена видео происходит не на сервере TikTok, это не делает ее менее опасной, считают исследователи.

“Если популярный DNS-сервер был взломан с целью внедрения поддельной записи DNS […], вводящая в заблуждение информация, фейковые новости или оскорбительные видеоролики будут просматриваться в большом масштабе. Это вполне реально», - уверены разработчики.