Фахівці з безпеки виявили небезпечну уразливість в одному з найбільш популярних додатків в App Store і Google Play. Мовиться про сервіс TikTok і баг, завдяки якому хакери можуть завантажувати відеоролики від імені іншого користувача без його відома.

Дослідники виявили в коді популярного додатка "діру", що дозволяє публікувати відеоролики від імені інших користувачів, перехоплюючи дані їх акаунтів, розповідає Mashable.

В чому справа

Як виявилося, для розміщення контенту TikTok використовує веб-протокол HTTP, від якого розробники відмовилися практично в усьому сегменті інтернету на користь більш надійного HTTPS.

У зв'язку з тим, що HTTP практично не захищений від атак, під час запуску TikTok в місцях з публічними Wi-Fi мережами зловмисники можуть перехопити історію відвідувань і особисті дані власника облікового запису. Для цього застосовується атака типу MitM – "людина посередині" за допомогою відправки підробленого пакета і подальшого перенаправлення всього трафіку додатки через власний сервер. Варто відзначити, що за поширення низки матеріалів, включаючи дезінформацію про коронавірусну інфекцію, акаунт може бути заблокований.

Для демонстрації уразливості експерти вже провели кілька показових зломів, розмістивши пов'язані з коронавірусом відеоролики від імені Всесвітньої організації охорони здоров'я та Червоного Хреста. Вони відзначили, що на сьогодні TikTok залишається єдиним додатком, що використовують HTTP для відправки даних.

Відео демонстративних матеріалів: