TikTok: ハッカーがあなたのアカウントに動画を投稿できる大きな欠陥

2 人のセキュリティ研究者が、TikTok の欠陥により、ハッカーがアプリケーションのユーザーのアカウントからビデオをブロードキャストできる仕組みを実証しました。この攻撃は、人気のあるアカウントで悪用されると、甚大な範囲に及ぶ可能性があります。研究者らはWHOと英国赤十字社のTikTokアカウントから偽のコロナウイルス動画を拡散することに成功した。

で公開されているビデオを閲覧しているシナリオを想像してください。TikTokそして突然、自分がアップロードしていないコンテンツが自分のアカウントからストリーミングされていることに気づきました。トミー・ミスク氏とタラル・ハジ・バクリ氏という二人の研究者によって証明されたように、これは確かに可能です。彼らは、ハッカーが次のことを行う可能性があることを示すレポートを発表したところです。TikTok アカウントのビデオを置き換える

すべてのソーシャル ネットワークやメッセージング アプリケーションと同様に、TikTokに基づいていますコンテンツ配信ネットワーク (CDN)そのプラットフォームで公開されたコンテンツを地理的に配布するため。ほとんどの競合他社とは異なり、TikTok は安全でない HTTP プロトコルを介してビデオを配信することを選択しました。

そうすることで、重要なアプリケーションが10億人を超えるユーザー世界中でサーバーからのデータ転送パフォーマンスが向上しています。これがこのプロトコルの主な利点ですが、この選択はユーザーのセキュリティを犠牲にして行われました。実際、HTTP トラフィックは悪意のある攻撃者によって簡単に傍受されたり、迂回されたりする可能性があります。

TikTok: ハッカーはソーシャル ネットワーク上で偽のビデオを大量に配布できる

HTTP プロトコルの弱点を悪用することで、攻撃者は TikTok ユーザーが投稿した動画を、人気のあるアカウントの動画など、別の動画と交換することができます。 TikTok に投稿されたすべての動画は、動画を視聴するユーザーにルーティングするさまざまな CDN を通じてユーザーに配信されます。研究者らが説明しているように、HTTPS の代わりに暗号化されていない HTTP プロトコルを使用すると、中間者攻撃タイプ

言い換えれば、ハッカーは CDN とエンド ユーザーの間に介入して、転送されたパケットを読み取ったり、他のサーバーからのストリームに置き換えてパケットを変更したりする可能性があります。 「したがって、攻撃者は、有名人や信頼できるアカウントによって実際に公開されたコンテンツの代わりに、スパムビデオでフェイクニュースを放送することができます。」

これを達成するには、ハッカーはまず、TikTok CDN アドレスを模倣した偽のサーバーにターゲット ユーザーを送信して、そのユーザーの DNS を破壊することに成功する必要があります。ハッカーは何千人ものユーザーのルーターにアクセスしてアクセスする必要があるため、このタスクは明らかにそれほど単純ではありません。DNS設定を変更する。ただし、その可能性は十分にありますISP のような一般的な DNSインターネット ユーザーのトラフィックを悪意のあるサーバーにルーティングするために直接ハッキングされます。この場合、TikTok上の偽動画は数百万人のユーザーに拡散する可能性がある

こちらもお読みください:TikTokアプリが米海軍のスマートフォンから禁止される

研究者らは、次のような概念実証を発表しました。偽のコロナウイルスビデオWHO や英米赤十字社などの信頼できるアカウントからのものです。ただし、独自のネットワークに接続しているユーザーのみがビデオを見ることができるように調整しました(ローカル ネットワークの DNS 設定を変更)。

最後に、この欠陥は執筆時点でもまだ悪用可能です。研究者はソーシャルネットワークをプロトコルに切り替えることを推奨していますGoogle などの企業によって強力に保護されている安全な HTTPS。 TikTokの反応が待たれます。

ソース :ムスクのブログ