В TikTok обнаружили уязвимость, через которую можно показывать фейковые ролики с чужих аккаунтов Как минимум в локальных сетях

Исследователи в области безопасности Томми Майск и Талал Хадж Бакри обнаружили в приложении соцсети TikTok уязвимость, которая позволяет показывать пользователям фейковые ролики от имени чужих аккаунтов.

Незащищенный протокол

Для передачи медиаконтента пользователям соцсеть использует незашифрованный протокол HTTP вместо более безопасного HTTPS. Это позволяет отсылать данные быстрее, однако ставит их под угрозу, поскольку трафик по HTTP легко отследить и даже изменить. В результате хакеры могут подменить видео, которые пользователи видят в аккаунтах TikTok, на фейковые.

Чтобы продемонстрировать уязвимость, специалисты показали, как можно манипулировать роликами в популярных аккаунтах, в том числе в официальном профиле ВОЗ.

Локальные фейки

Исследователи подменяли ролики не на сервере TikTok, а только в своей домашней сети. То есть изменения могли увидеть лишь пользователи, которые используют тот же роутер. Однако специалисты считают, что уязвимость можно использовать в более широких масштабах, если хакеры взломают популярный DNS-сервер.

Этой уязвимостью, по словам исследователей, в теории могут воспользоваться владельцы публичных сетей Wi-Fi, интернет- и VPN-провайдеры и правительственные службы. Всем им доступна история просмотров пользователей TikTok, использующих их сети.