Ranjivost u TikToku omogućava hakerima da korisnicima prikažu lažne video snimke

Vesti, 15.04.2020, 10:30 AM

Ranjivost u TikToku omogućava hakerima da korisnicima prikažu lažne video snimke

Popularna aplikacija TikTok koristi HTTP za preuzimanje sadržaja umesto sigurnog protokola pa bi mogla biti zloupotrebljena za širenje dezinformacija na platformi, upozorili su istraživači Talal Haj Bakri i Tomi Misk. Bakri je iOS programer u NuraLogix Corp. a Misk je DJ i muzički producent.

Sigurnosna slabost u popularnom TikToku omogućava lokalnom napadaču da hakuje bilo koji video sadržaj u korisnikom TikTok feedu i zameni ga svojim sadržajem.

Istraživači su objavili dokaz o izvodljivosti napada (PoC) koristeći tehniku napada koja se naziva “čovek u sredini” (MiTM) na uređaje na kojima se koristi TikTok aplikacija.

Propust je u tome što aplikacija TikTok koristi nesigurni HTTP za video sadržaj u nastojanju da poboljša brzinu kojom može da prenosi podatke, kažu istraživači. Međutim, ovaj nedostatak zaštite takođe omogućava napadačima da lako izmene bilo koji HTTP saobraćaj, uključujući i videe.

Ranjivost je posebno zabrinjavajuća, tvrde istraživači, jer se društveni mediji koriste za širenje dezinformacija i uticaj na javnost. To bi, tvrde oni, od popularne aplikacije moglo napraviti najnoviju platformu za širenje laži među korisnicima TikToka.

U napadu kojim su pokazali kako funkcioniše iskorišćavanje ove ranjivosti, Misk i Bakri su demonstrirali kako je popularnim TikTok korisnicima moguće hakovati video snimke kako bi se prikazali video snimci napadača koji npr. umanjuju ozbiljnost pandemije COVID-19.

Prema rečima Miska, video sadržaji, profilne slike korisnika TikToka i statičke video slike su ranjivi na napad jer se prenose iz regionalnih mreža za isporuku sadržaja (CDN) korišćenjem nesigurnog protokola prenosa hiperteksta (HTTP) umesto zaštićenog protokola prenosa hiperteksta (HTTPS).

Vodeći CDN-ovi kao što su Apple i Google već imaju ugrađene tehnologije i podešavanja u iOS i Androidu, koji zahtevaju korišćenje šifrovanog HTTPS-a da bi se zaštitio prenos podataka. Međutim, oni pružaju i mogućnost da programeri odustanu od HTTPS-a radi kompatibilnosti, što „bi trebalo da bude izuzetak a ne pravilo“, napisali su istraživači.

TikTok za iOS (verzija 15.5.6) i TikTok za Android (verzija 15.7.4) još uvek koriste nešifrovani HTTP da bi se povezali sa TikTok CDN-om, primetili su Bakri i Misk. Oni su pozvali TikTok, „giganta društvenog umrežavanja sa oko 800 miliona aktivnih korisnika mesečno“, da što pre reši problem i da se „pridržava industrijskih standarda u pogledu privatnosti i zaštite podataka“.

Izvođenje napada zahteva kontrolu rutera koji neko koristi za pristup internetu i TikToku. Zatim napadač može preusmeriti HTTP zahteve za video sadržaj, koji je deo strima korisnika TikToka, na server koji je pod njegovom kontrolom. To omogućava napadaču da izvrši MiTM napad, manipuliše svim podacima koji se šalju preko HTTP-a i prikaže svoj video sadržaj umesto legitimnog sadržaja TikTok korisnika.

Osim hakera, ovu ranjivost TikToka mogu iskoristiti i drugi za kreiranje i širenje lažnih video snimaka uključujući internet provajdere, zlonamerne VPN provajdere, vlade i obaveštajne agencije, koje mogu primorati internet provajdere da instaliraju njihove alate koji prate ili menjaju podatke, upozorili su istraživači.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle hapšenja članova grupe, stižu upozorenja da ransomware banda REvil ponovo napada

Posle hapšenja članova grupe, stižu upozorenja da ransomware banda REvil ponovo napada

Zloglasna ransomware grupa REvil ponovo se pojavila, tvrdi nekoliko istraživača bezbednosti koji prate njene napade. Grupa je po drugi put prekinula... Dalje

Mnogi veb sajtovi beleže sve što kucate pre nego što pritisnete ''Pošalji''

Mnogi veb sajtovi beleže sve što kucate pre nego što pritisnete ''Pošalji''

Kada se prijavljujete za bilten, rezervišete hotel ili se prijavljujete na sajtu, verovatno mislite da ako ste tri puta pogrešno otkucali imejl adre... Dalje

Italijanska policija sprečila napade proruskih hakera na Evroviziju

Italijanska policija sprečila napade proruskih hakera na Evroviziju

Italijanske vlasti uspele su da blokiraju pokušaje proruskih hakera da prekinu takmičenje za Pesmu Evrovizije tokom polufinala 10. maja i finala koj... Dalje

Poznati kradljivac lozinki RedLine ponovo se širi preko YouTube videa

Poznati kradljivac lozinki RedLine ponovo se širi preko YouTube videa

Istraživači Netskope Threat Labsa otkrili su novu kampanju za širenje RedLine Stealera, jeftinog alata za krađu lozinki koji se prodaje na hakersk... Dalje

Broj ransomware napada u padu zbog sankcija protiv Rusije koje otežavaju život sajber kriminalcima

Broj ransomware napada u padu zbog sankcija protiv Rusije koje otežavaju život sajber kriminalcima

Broj ransomware napada opao je poslednjih meseci jer sankcije protiv Rusije otežavaju sajber kriminalcima da organizuju napade i primaju otkupnine, o... Dalje