Специалисты по безопасности обнаружили опасную уязвимость в одном из самых скачиваемых из App Store и Google Play приложений. Речь о мобильном клиенте сервиса TikTok и баге, благодаря которому хакеры могут загружать видеоролики от имени другого пользователя без его ведома.
Исследователи обнаружили в коде популярного приложения «дыру», позволяющую публиковать видеоролики от имени других пользователей, перехватывая данные их аккаунтов. Как оказалось, для размещения контента TikTok задействует веб-протокол HTTP, от которого разработчики отказались практически во всём сегменте интернета в пользу более надёжного HTTPS.
В связи с тем, что HTTP практически не защищён от атак, при запуске TikTok в местах с публичными Wi-Fi сетями злоумышленники могут перехватить историю посещений и личные данные владельца учётной записи. Для этого применяется атака типа MitM — «человек посередине» посредством отправки поддельного пакета и дальнейшего перенаправления всего трафика приложения через собственный сервер. Стоит отметить, что за распространение ряда материалов, включая дезинформацию о коронавирусной инфекции, аккаунт может быть заблокирован.
Для демонстрации уязвимости эксперты уже провели несколько показательных взломов, разместив связанные с коронавирусом видеоролики от имени Всемирной организации здравоохранения и Красного Креста. Они отметили, что на сегодня TikTok остаётся единственным приложением, использующим HTTP для отправки данных.
Источник:
(Комментарий удален)
Куча орных мемасов и несколько неплохих аккаунтов
для деградации пойдет
Был TikTok стал ТукТук
ЧпокЧпок
Орные мемы = старые баяны? Уж лучше на реддите мемасики чекать
в том то и дело тик ток сейчас это главный поставщик мемов, которые реддит и прочие берут себе
Что уж там, 4пда до сих пор не перешли.
Ждите, как только хоноры перестанут заносить, тогда перейдут на деграТикТок
миллиард умственно неполноценных, зачем им https, у них у васех пароли одинаковые 123456aA
такс.. сек, а откуда я знаю пароли большинсва ТикТокеров...
если не связано с деньгами, не важно... Тикток бесплатный
пользователей этой помойки
Там целевая аудитория такая, что хорошо хоть : как включить телефон догадались...
ЗА ВДВ!!!
Работает как выжигатель мозгов
передаю привет 4pda с голым http по умолчанию)
а зачем им шифрование? Что там есть...
токен доступа в открытом виде