兩名安全研究人員展示了 TikTok 的缺陷如何允許駭客從該應用程式的任何用戶的帳戶中廣播影片。當針對流行帳戶進行攻擊時,這種攻擊的影響範圍可能會很大。研究人員設法傳播來自世界衛生組織和英國紅十字會 TikTok 帳戶的虛假冠狀病毒影片。
想像一下您正在瀏覽發布的影片的場景抖音然後您突然發現您未上傳的內容正在從您的帳戶中傳輸。這確實是可能的,兩位研究人員 Tommy Mysk 和 Talal Haj Bakry 證明了這一點。他們剛剛發布了一份報告,表明駭客有可能替換任何 TikTok 帳戶上的視頻。
與所有社交網路和訊息應用程式一樣,抖音是基於內容傳遞網路 (CDN)按地理分佈在其平台上發布的內容。與大多數競爭對手不同,TikTok 選擇透過不安全的 HTTP 協定分發影片。
在此過程中,重要的應用程式超過十億用戶全球範圍內提高了伺服器的資料傳輸效能。這是該協議的主要優點,但這種選擇是以犧牲用戶安全為代價的。事實上,HTTP 流量很容易被惡意行為者攔截甚至轉移。
透過利用 HTTP 協定中的弱點,攻擊者可以將 TikTok 用戶發布的影片與不同的影片交換,包括來自熱門帳戶的影片。 TikTok 上發布的所有影片都會透過不同的 CDN 分發給用戶,這些 CDN 將影片路由給觀看影片的用戶。正如研究人員所解釋的,使用未加密的 HTTP 協定而不是 HTTPS 使得中間人類型攻擊。
換句話說,駭客可以介入 CDN 和最終用戶之間,有可能讀取傳輸的資料包,甚至透過用來自其他伺服器的串流替換它們來更改它們。 “因此,攻擊者可以在垃圾郵件視頻中廣播假新聞,而不是名人或可信帳戶實際發布的內容。”
為了實現這一目標,駭客必須先將目標用戶發送到模仿 TikTok CDN 位址的假伺服器,以成功破壞目標用戶的 DNS。這個任務顯然不是那麼簡單,因為駭客必須存取數千個使用者的路由器才能更改 DNS 設定。然而,完全有可能流行的 DNS,如 ISP 的 DNS直接被駭客攻擊,將網路使用者的流量路由到惡意伺服器。在這種情況下,TikTok 上的假影片可能會傳播給數百萬用戶。
研究人員發表了一個概念證明,其中包括傳播假冠狀病毒視頻來自世界衛生組織或英國和美國紅十字會等可信任帳戶。然而,他們安排只有連接到自己網路的用戶才能看到影片(修改本地網路的 DNS 設定)。
最後,在撰寫本文時,此缺陷仍然可以被利用。研究人員建議社交網路改用協議受到 Google 等公司大力捍衛的安全 HTTPS。 TikTok 的反應仍在等待中。
來源 :馬斯克博客
詢問我們最新的!
太陽系中行星的略微傾斜和偏心的軌道長期以來一直引起科學家的興趣。一項新的研究提出了一個令人著迷的理論:來自另一個恆星系統的巨大物體會破壞其最初的組織。太陽系...
訊息
