Через використання протоколу HTTP соціальна мережа легко піддається атакам хакерів.
Фахівці з мережевої безпеки Томмі Миск (Tommy Mysk) і Талал Хадж Бакрі (Talal Haj Bakry) виявили уразливість в украй популярному сервісі TikTok, який недавно подолав позначку в 1 млрд завантажень в Google Play Store.
Ця вразливість дозволяє зловмисникам замінювати відеоролики в акаунтах інших користувачів. Вони опублікували фейковий відеоролик про COVID-19 в декількох популярних акаунтах на TikTok, включаючи офіційний акаунт Всесвітньої організації охорони здоров’я (ВООЗ).
Томмі Миска і Талал Хадж Бакрі пояснюють, що соціальна мережа TikTok використовує незашифрований протокол HTTP замість більш безпечного HTTPS. Через це власники загальнодоступних мереж Wi-Fi, інтернет-провайдери та державні служби можуть отримувати історію переглядів всіх користувачів TikTok.
Через використання протоколу HTTP соціальна мережа легко піддається атакам хакерів. Автори дослідження змогли змінити контент і замінити реальні відеоролики користувачів підробленими, провівши DNS-атаку в мережі. Після цього вони опублікували відео, яке демонструє, як вони поміщають відео з неправдивою інформацією в перевірений обліковий запис ВООЗ.
Варто відзначити, що розробники не замінювали відео на сервері TikTok, вони зробили це для демонстрації тільки в домашній мережі. Це означає, що зміни побачать тільки ті користувачі, які використовують їх маршрутизатор. Однак дослідники вважають, що вразливість може бути використана в більш широкому масштабі.