Ranjivost u TikToku omogućava hakerima da korisnicima prikažu lažne video snimke

Vesti, 15.04.2020, 10:30 AM

Ranjivost u TikToku omogućava hakerima da korisnicima prikažu lažne video snimke

Popularna aplikacija TikTok koristi HTTP za preuzimanje sadržaja umesto sigurnog protokola pa bi mogla biti zloupotrebljena za širenje dezinformacija na platformi, upozorili su istraživači Talal Haj Bakri i Tomi Misk. Bakri je iOS programer u NuraLogix Corp. a Misk je DJ i muzički producent.

Sigurnosna slabost u popularnom TikToku omogućava lokalnom napadaču da hakuje bilo koji video sadržaj u korisnikom TikTok feedu i zameni ga svojim sadržajem.

Istraživači su objavili dokaz o izvodljivosti napada (PoC) koristeći tehniku napada koja se naziva “čovek u sredini” (MiTM) na uređaje na kojima se koristi TikTok aplikacija.

Propust je u tome što aplikacija TikTok koristi nesigurni HTTP za video sadržaj u nastojanju da poboljša brzinu kojom može da prenosi podatke, kažu istraživači. Međutim, ovaj nedostatak zaštite takođe omogućava napadačima da lako izmene bilo koji HTTP saobraćaj, uključujući i videe.

Ranjivost je posebno zabrinjavajuća, tvrde istraživači, jer se društveni mediji koriste za širenje dezinformacija i uticaj na javnost. To bi, tvrde oni, od popularne aplikacije moglo napraviti najnoviju platformu za širenje laži među korisnicima TikToka.

U napadu kojim su pokazali kako funkcioniše iskorišćavanje ove ranjivosti, Misk i Bakri su demonstrirali kako je popularnim TikTok korisnicima moguće hakovati video snimke kako bi se prikazali video snimci napadača koji npr. umanjuju ozbiljnost pandemije COVID-19.

Prema rečima Miska, video sadržaji, profilne slike korisnika TikToka i statičke video slike su ranjivi na napad jer se prenose iz regionalnih mreža za isporuku sadržaja (CDN) korišćenjem nesigurnog protokola prenosa hiperteksta (HTTP) umesto zaštićenog protokola prenosa hiperteksta (HTTPS).

Vodeći CDN-ovi kao što su Apple i Google već imaju ugrađene tehnologije i podešavanja u iOS i Androidu, koji zahtevaju korišćenje šifrovanog HTTPS-a da bi se zaštitio prenos podataka. Međutim, oni pružaju i mogućnost da programeri odustanu od HTTPS-a radi kompatibilnosti, što „bi trebalo da bude izuzetak a ne pravilo“, napisali su istraživači.

TikTok za iOS (verzija 15.5.6) i TikTok za Android (verzija 15.7.4) još uvek koriste nešifrovani HTTP da bi se povezali sa TikTok CDN-om, primetili su Bakri i Misk. Oni su pozvali TikTok, „giganta društvenog umrežavanja sa oko 800 miliona aktivnih korisnika mesečno“, da što pre reši problem i da se „pridržava industrijskih standarda u pogledu privatnosti i zaštite podataka“.

Izvođenje napada zahteva kontrolu rutera koji neko koristi za pristup internetu i TikToku. Zatim napadač može preusmeriti HTTP zahteve za video sadržaj, koji je deo strima korisnika TikToka, na server koji je pod njegovom kontrolom. To omogućava napadaču da izvrši MiTM napad, manipuliše svim podacima koji se šalju preko HTTP-a i prikaže svoj video sadržaj umesto legitimnog sadržaja TikTok korisnika.

Osim hakera, ovu ranjivost TikToka mogu iskoristiti i drugi za kreiranje i širenje lažnih video snimaka uključujući internet provajdere, zlonamerne VPN provajdere, vlade i obaveštajne agencije, koje mogu primorati internet provajdere da instaliraju njihove alate koji prate ili menjaju podatke, upozorili su istraživači.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

I nakon hakovanja, korisnici retko menjaju svoje lozinke

I nakon hakovanja, korisnici retko menjaju svoje lozinke

Samo trećina korisnika promeni lozinku nakon što se prijavi kompromitovanje podataka, pokazalo je nedavno istraživanje koje su objavili naučnici ... Dalje

MUP Srbije izdao upozorenje za građane i firme: Ne otvarajte emailove koje navodno šalje Batut, u pitanju je prevara

MUP Srbije izdao upozorenje za građane i firme: Ne otvarajte emailove koje navodno šalje Batut, u pitanju je prevara

Pripadnici Ministarstva unutrašnjih poslova, Odeljenja za suzbijanje visokotehnološkog kriminala, izdali su upozorenje za građane Republike Srbije ... Dalje

Zoom planira jaču enkripciju za naloge korisnika koji plaćaju uslugu

Zoom planira jaču enkripciju za naloge korisnika koji plaćaju uslugu

Zoom će dodati jaču enkripciju video pozivima korisnika koji plaćaju pretplatu kao i institucijama poput škola, ali kompanija ne planira da pobol... Dalje

Qihoo i Baidu ruše kinesku bot mrežu sa stotinama hiljada zaraženih računara

Qihoo i Baidu ruše kinesku bot mrežu sa stotinama hiljada zaraženih računara

Kineski korisnici se obično druže u svom kutku interneta, iza “Velikog vatrenog zida”, ali se i oni kao i ostatak sveta svakodnevno susr... Dalje

Bag u opciji ''Prijava sa Appleom'' omogućava hakovanje naloga u aplikacijama i na veb sajtovima

Bag u opciji ''Prijava sa Appleom'' omogućava hakovanje naloga u aplikacijama i na veb sajtovima

Vaša email adresa hakeru može biti dovoljna da preuzme vaš nalog na omiljenom veb sajtu ili u aplikaciji. Sve što napadač treba da uradi je da is... Dalje