Categories
科技報導

TikTok視頻地址未啟用HTTPS連接 研究者警告易受篡改攻擊



熱門短視頻應用 TikTok 近日被發現存在一個較大的安全隱患,由於部分資源內容未啟用安全的 HTTPS 加密連接,導致其容易被黑客攻擊而篡改。開發者 Talal Haj Baktry 和 Tommy Mysk 以近期流行的新冠病毒資訊類視頻為例,對 TikTok 默認通過 HTTP 連接的資源進行了攔截追踪和篡改攻擊。

TikTok視頻地址未啟用HTTPS連接 研究者警告易受篡改攻擊 1

視頻截圖(來自:myskapps / YouTube)

三月份的時候,專注於研究熱門 App 中漏洞的兩人,發現了一個能夠用於窺探 iOS 用戶剪貼板中內容的 bug 。

現在,Baktry 和 Mysk 又揭示了月用戶 8 億的熱門短視頻應用 TikTok 中的一個安全隱患 —— 即便是最新的版本,其仍在通過未加密的 HTTP 連接,來獲取 CDN 上的資源。

這意味著 Android / iOS 客戶端的 TikTok 用戶的觀看歷史記錄易受攔截,甚至為更隱蔽的中間人攻擊(MITM)敞開了大門。

研究人員警告稱,攻擊者甚至可以通過入侵本地網絡,將客戶端上的視頻替換成任何虛假的信息。

為作概念驗證,二人搭建了模仿 TikTok 內容交付網絡(CDN)的假服務器,然後順利地利用 MITM 技術欺騙看 TikTok 客戶端,將虛假信息視頻呈現在了用戶的手機屏幕上。

Hacking TikTok to Show Fraudulent Videos – DNS Attack(via)

二人以充滿錯誤信息的有關新冠病毒的編造視頻片段,代替了世界衛生組織和紅十字會的官方內容。 Baktry 和 Mysk 寫道:

“我們成功攔截了TikTok 的流量,並欺騙客戶端來顯示編造後的視頻,就像它是經過驗證的官方賬戶所發布的那樣。對於那些以誤導事實來污染互聯網內容的人們來說,這簡直是一款完美的工具”。

需要指出的是,這種特定的攻擊需要訪問確切的路由器配置,意味著它很可能被 Wi-Fi 運營商所利用。

此外,默認以 HTTP 連接來調取 CDN 內容的方式,或導致 TikTok 被惡意的無線網絡接入點、虛擬專用網、互聯網服務提供商、甚至情報機構所利用。

據悉,TikTok 通過 HTTP 來傳說包括視頻、個人資料照片和剪輯的預覽圖像等信息,但視頻仍是此類社交媒體平台的最主要功能。

為消除安全等方面的諸多不良影響,大多數線上服務和網站都已經轉移到 HTTPS 連接。遺憾的是,儘管蘋果和谷歌也向 App 開發者提出了要求,但仍提供了向後兼容的非強制性選項。