Кіберексперти Талал Хадж Бакрі та Томмі Міск показали, як у TikTok – одному з найпопулярніших додатків у світі – можна замінювати трансляцію відео. Користувачі бачитимуть не те, що хотів показати автор. Так можна транслювати фейкові відео від будь-чийого імені.
Вразливість базується на тому, що TikTok використовує для трансляції контенту незахищений протокол HTTP. iOS та Android дозволяють його використання для сумісності зі старими сервісами та додатками.
Для демонстрації кіберексперти змусили TikTok під’єднуватися до створеного ними сервера, який транслював відео про COVID19, кібербезпеку та хакінг.
Експеримент показав, що можна успішно перехоплювати відео і змушувати користувачів TikTok думати, що контент опублікований популярними та верифікованими атаками. Також можна дивитися історію переглядів користувача, змінювати його профиль та відео.
Дослідники провели локальну атаку, для чого пристрої під’єднувалися до бездротового роутера, який перенаправляв трафік. Атаку у великому масштабі можна провести, якщо захопити контроль над сервером DNS та змусити його змінити маршрут трафіку.