Исследователи в области информационной безопасности Томми Майск и Талал Хардж Барки обнаружили в TikTok уязвимость, позволяющую публиковать видеоролики в чужих аккаунтах. Они разместили от имени популярных блогеров и официальном профиле Всемирной организации здравоохранения фейковые видео о коронавирусе COVID-19.
Выяснилось, что TikTok использует незащищённый протокол HTTP вместо шифруемого и безопасного HTTPS. Благодаря этому, владельцы открытых точек Wi-Fi, интернет-провайдеры и государственные службы могут перехватывать трафик в незашифрованном виде.
Кроме того, использование HTTP открывает возможности для применения атаки man-in-the-middle с подменой видео. Можно изменить передачу контента и подменить реальное видео любого пользователя на фейковое через DNS-атаку на сеть. Исследователи опубликовали на YouTube видео, подтверждающее их выводы:
В данном случае подмена роликов происходила не на сервере TikTok, а лишь в локальной сети, то есть фейковые видео могли смотреть только те, кто был подключен к той же точке Wi-Fi, что и исследователи. Тем не менее, если DNS-сервер TikTok будет взломан, это откроет хакерам возможность использовать уязвимость сервиса в гораздо более масштабных размерах.