Киберэксперты Талал Хадж Бакри и Томми Миск показали, как в TikTok – одном из самых популярных приложений в мире – можно заменять трансляцию видео. Пользователи будут видеть не то, что хотел показать автор. Так можно транслировать фейковые видео от любого имени.
Уязвимость основана на том, что TikTok использует для трансляции контента незащищенный протокол HTTP. iOS и Android позволяют использовать его для совместимости со старыми сервисами и приложениями.
В качестве демонстрации киберэксперты заставили TikTok подсоединяться к созданному ими серверу, который транслировал видео о COVID19, кибербезопасности и хакинге.
Эксперимент показал, что можно успешно перехватывать видео и заставлять пользователей TikTok думать, что контент опубликован популярными и верифицированными атаками. Также можно смотреть историю просмотров пользователя, менять его профиль и видео.
Исследователи провели локальную атаку, для чего устройства подключались к беспроводному роутеру, который перенаправлял трафик. Атаку в большом масштабе можно провести, если захватить контроль над сервером DNS и заставить его изменить маршрут трафика.
