熱門短視頻應用 TikTok 近日被發現存在一個較大的安全隱患,由於部分資源內容未啟用安全的 HTTPS 加密連接,導致其容易被黑客攻擊而篡改。 開發者 Talal Haj Baktry 和 Tommy Mysk 以近期流行的新冠病毒資訊類視頻為例,對 TikTok 默認通過 HTTP 連接的資源進行了攔截追蹤和篡改攻擊。
視頻截圖(來自:myskapps / YouTube)
三月份的時候,專注於研究熱門 App 中漏洞的兩人,發現了一個能夠用於窺探 iOS 用戶剪貼板中內容的 bug 。
現在,Baktry 和 Mysk 又揭示了月用戶 8 億的熱門短視頻應用 TikTok 中的一個安全隱患 —— 即便是最新的版本,其仍在通過未加密的 HTTP 連接,來獲取 CDN 上的資源。
這意味著 Android / iOS 客戶端的 TikTok 用戶的觀看歷史記錄易受攔截,甚至為更隱蔽的中間人攻擊(MITM)敞開了大門。
研究人員警告稱,攻擊者甚至可以通過入侵本地網絡,將客戶端上的視頻替換成任何虛假的信息。
為作概念驗證,二人搭建了模仿 TikTok 內容交付網絡(CDN)的假服務器,然後順利地利用 MITM 技術欺騙看 TikTok 客戶端,將虛假信息視頻呈現在了用戶的手機屏幕上。
Hacking TikTok to Show Fraudulent Videos - DNS Attack(via)
二人以充滿錯誤信息的有關新冠病毒的編造視頻片段,代替了世界衛生組織和紅十字會的官方內容。Baktry 和 Mysk 寫道:
“我們成功攔截了 TikTok 的流量,並欺騙客戶端來顯示編造後的視頻,就像它是經過驗證的官方賬戶所發佈的那樣。對於那些以誤導事實來汙染互聯網內容的人們來說,這簡直是一款完工具”。
需要指出的是,這種特定的攻擊需要訪問確切的配置,意味著它很可能被 Wi-Fi 運營商所利用。
此外,默認以 HTTP 連接來調取 CDN 內容的方式,或導致 TikTok 被惡意的無線網絡接入點、虛擬專用網、互聯網服務提供商、甚至情報機構所利用。
據悉,TikTok 通過 HTTP 來傳說包括視頻、個人資料照片和剪輯的預覽圖像等信息,但視頻仍是此類社交媒體平臺的最主要功能。
為消除安全等方面的諸多不良影響,大多數線上服務和網站都已經轉移到 HTTPS 連接。遺憾的是,儘管蘋果和谷歌也向 App 開發者提出了要求,但仍提供了向後兼容的非強制性選項。
