В последно време приложението TikTok се радва на изключително голяма популярност, включително и в България. Уникалността на TikTok го прави доста по-различен от Facebook и Instagram, което събира по-различен тип, видео насочена аудитория в него.
Заедно с популярността обаче се появяват и някои негативи, като например апетита на хакери да атакуват приложението и акаунтите на публикуващите съдържание в него.
Представете си ситуацията в която разглеждате забавни клипове в TikTok и в един момент виждате такъв, който е качен от вашият профил, а вие реално никога не сте правили и още по-малко качвали подобно видео.
Звучи ви невъзможно, но се оказва, че е напълно възможно, защото екипът от разработчици Tommy Mysk и Talal Haj Bakry, открива пропуск в сигурността на TikTok, която позволява на хакери да качват видео клипове към всеки един акаунт.
В публикация в Mashable те обясняват, че TikTok използва CDN (Content Delivery Networks), който представлява мрежи за доставка на съдържание, за да прехвърли по-ефективно своите данни по целия свят. За да подобрят производителността на мрежата, те прехвърлят данните през HTTP. Именно от там идва проблема, защото HTTP не е криптиран и новото му на сигурност е много по-слабо от HTTPS.
Tommy Mysk и Talal Haj Bakry казват, че в паметта на всеки един рутер, който трансферира информацията между приложението TikTok и CDN на TikTok, се съдържа информация за видеоклиповете, които потребителят е качил или гледал.
Ако използвате домашния си рутер, това не би било чак толкова голям проблем, но ако сте се свързали към обществена Wi-Fi мрежа, доставчикът на интернет услуги ѝ може да събира споменатите данни без какъвто и да е проблем.
Тук идва момента с появата на така нареченият „Човек по средата“ (man-in-the-middle). Това е зложелателят, който благодарение на слабата защита на HTTP, може да подмени съдържанието което даден потребител качва през акаунта си.
В демо, което публикуваха двамата разработчици, те показват как хакват профила на СЗО (Световната Здравна Организация) в TikTok и качват в него дезинформиращо видео за COVID-19.
Програмистът Tommy Mysk споделя, че този пропуск в сигурността е изолиран при TikTok и не е наличен при другите популярни социални приложения. В интервюто си за Mashable, той споделя:
„Преди малко тествах всички приложения – Facebook, Instagram, YouTube, Twitter и Snapchat. Те не използват незащитеният HTTP, а прехвърлят всички свои данни с помощта на HTTPS.“
Още от Digital.bg: Най-добрите безплатни програми за компресиране на големи файлове
Discussion about this post