Οι έμπειροι ερευνητές ασφαλείας Tommy Mysk και Talal Haj Bakry ανακάλυψαν μια ευπάθεια στο TikTok που θα μπορούσε να επιτρέψει στους χάκερς να δημοσιεύουν βίντεο για λογαριασμό άλλων. Έχουν δημοσιεύσει βίντεο σε πολλούς δημοφιλείς λογαριασμούς TikTok, συμπεριλαμβανομένου του επίσημου λογαριασμού του Παγκόσμιου Οργανισμού Υγείας και πρόκειται για ένα fake υλικό σχετικά με τον COVID-19.
Το πρόβλημα είναι ότι το κοινωνικό δίκτυο χρησιμοποιεί μη κρυπτογραφημένο πρωτόκολλο HTTP αντί για το ασφαλέστερο HTTPS. Εξαιτίας αυτού, οι κάτοχοι δημόσιων δικτύων Wi-Fi, παρόχων διαδικτύου και κυβερνητικών υπηρεσιών μπορούν να λαμβάνουν ιστορικό περιήγησης για οποιονδήποτε χρήστη του TikTok όπως σημειώνουν οι ερευνητές.
Παλιά πρότυπα ασφαλείας στο TikTok…
Λόγω της χρήσης του πρωτοκόλλου HTTP, το κοινωνικό δίκτυο προσφέρεται για επιθέσεις από κακόβουλους χρήστες. Οι ερευνητές μπόρεσαν να αλλάξουν το περιεχόμενο και να αντικαταστήσουν τα πραγματικά βίντεο του χρήστη με τα ψεύτικα, πραγματοποιώντας επίθεση DNS στο δίκτυο. Μετά από αυτό, δημοσίευσαν ένα βίντεο που δείχνει πώς έβαλαν το βίντεο με τις ψευδείς πληροφορίες στον επαληθευμένο λογαριασμό του Π.Ο.Υ.
Οι προγραμματιστές δεν αντικατέστησαν τα βίντεο στο server του TikTok, αλλά μόνο στο οικιακό δίκτυο. Αυτό σημαίνει ότι μόνο οι χρήστες που χρησιμοποιούν το δίκτυό τους θα βλέπουν τις αλλαγές. Ωστόσο, οι ερευνητές πιστεύουν ότι η ευπάθεια μπορεί να αξιοποιηθεί σε μεγαλύτερη κλίμακα και αυτό επειδή οι χάκερς μπορούν να εισέλθουν στους δημοφιλείς διακομιστές DNS.
Στις αρχές του 2020, το Check Point ανακάλυψε μια ευπάθεια που επέτρεψε στους χάκερς να διαχειρίζονται τους λογαριασμούς άλλων ατόμων στο TikTok. Αργότερα, η ομάδα των Mysk και Bakri βρήκαν ένα πρόβλημα ασφάλειας στο TikTok που παρείχε πρόσβαση στο πρόχειρο του iPhone.
“Δυστυχώς, η χρήση του HTTP για τη μεταφορά ευαίσθητων δεδομένων δεν έχει εξαφανιστεί ακόμη. Όπως αποδεικνύεται, το HTTP ανοίγει την πόρτα για πλαστοπροσωπία και χειρισμό δεδομένων του διακομιστή. Παρακολουθήσαμε με επιτυχία την κυκλοφορία του TikTok. Επιπλέον, ξεγελάσαμε την εφαρμογή για να δείξουμε τα δικά μας βίντεο σαν να δημοσιεύτηκαν από δημοφιλείς και επαληθευμένους λογαριασμούς. Αυτό αποτελεί ένα τέλειο εργαλείο για όσους προσπαθούν αδιάκοπα να μολύνουν το διαδίκτυο με παραπλανητικά γεγονότα. Το TikTok που αποτελεί έναν γίγαντα κοινωνικής δικτύωσης με περίπου 800 εκατομμύρια μηνιαίους ενεργούς χρήστες, οφείλεται να συμμορφωθεί με τα νεότερα βιομηχανικά πρότυπα όσον αφορά το απόρρητο των δεδομένων και την προστασία”, είπαν οι ερευνητές.
[via]