『』TikTok因未启用HTTPS连接 研究者警告易受篡改攻击


据报道 , 字节跳动旗下短视频应用 TikTok 最近被发现存在安全隐患 , 由于这款应用的部分内容在传输过程中并未启用 HTTPS 加密连接 , 导致内容容易被黑客攻击 。
『』TikTok因未启用HTTPS连接 研究者警告易受篡改攻击
本文插图

报道称 , 两名开发者 Talal Haj Baktry 和 Tommy Mysk 在 YouTube 上传的视频显示 , 由于 TikTok 默认通过 HTTP 连接 , 内容可以被拦截追踪和篡改 。
三月份 , 有两位专门研究热门 App 中漏洞的人 , 发现了一个能够用于窥探 iOS 用户剪贴板中内容的 bug。
最近 , Baktry 和 Mysk 又揭示TikTok 即便是最新的版本 , 其仍在通过未加密的 HTTP 连接 , 来获取 CDN 上的资源 。
这意味着 Android / iOS 客户端的 TikTok 用户的观看历史记录易受拦截 , 甚至为更隐蔽的中间人攻击(MITM)敞开了大门 。 研究人员警告称 , 攻击者甚至可以通过入侵本地网络 , 将客户端上的视频替换成任何虚假的信息 。
通过HTTP传输的数据内容包含:应用显示的所有视频、TikTok帐户的个人资料照片、下载视频时显示的视频预览图像
而且 , 中间人攻击可以改变下载内容 。 比如 , 将帐户的个人资料照片用其他伪造的照片替代 。 然而 , 替换照片不像替换视频那么关键 。 能够替换视频产生的影响力才是更大的 。 因此 , 攻击者可以利用一个名人的或者是可信的账号 , 替换其中的视频 , 传播垃圾信息和虚假事实 , 这种影响力是很可怕的 。 TikTok误导性或者虚假性视频会产生很大的风险 。 这也是中间人攻击的潜在动因 。
『』TikTok因未启用HTTPS连接 研究者警告易受篡改攻击
本文插图
为作概念验证 , 二人搭建了模仿 TikTok 内容交付网络(CDN)的假服务器 , 然后顺利地利用 MITM 技术欺骗 TikTok 客户端 , 将虚假信息视频呈现在了用户的手机屏幕上 。
二人以充满错误信息的有关新冠病毒的编造视频片段 , 代替了世界卫生组织和红十字会的官方内容 。 Baktry 和 Mysk 写道:
“我们成功拦截了 TikTok 的流量 , 并欺骗客户端来显示编造后的视频 , 就像它是经过验证的官方账户所发布的那样 。 对于那些以误导事实来污染互联网内容的人们来说 , 这简直是一款完美的工具” 。
据悉 , TikTok 通过 HTTP 来传输包括视频、个人资料照片和剪辑的预览图像等信息 , 但视频仍是此类社交媒体平台的最主要功能 。
为消除安全等方面的诸多不良影响 , 大多数线上服务和网站都已经转移到 HTTPS 连接 。 遗憾的是 , 尽管苹果和谷歌也向 App 开发者提出了要求 , 但仍提供了向后兼容的非强制性选项 。
即便是最新版本 , TikTok 依然通过未加密的 HTTP 连接获取服务器上的资源 。 攻击者甚至能够通过入侵本地网络 , 替换应用中的视频内容 。
这种特定的攻击需要访问路由器配置 , 也就是说 , 它更容易被 Wi-Fi 提供者利用 。 默认以 HTTP 连接获取服务器内容的方式也容易导致 TikTok 被恶意的 Wi-Fi 接入点、VPN、互联网服务商甚至情报机构利用 。
『』TikTok因未启用HTTPS连接 研究者警告易受篡改攻击
本文插图
以 HTTPS 连接 , 如今已经被认为是最基本的安全保障 , 大多数线上服务和网站都已经启用 HTTPS 连接 , 一些浏览器也会在打开未启用 HTTPS 连接的网站时显示 “不安全” 提醒 。
虽然它无法提供绝对的安全保障 , 但至少可以在一定程度上避免某些不良网络服务商在网站或内容中插入无关的资讯或广告 。
在未安装SSL证书时 , 用户和服务器之间的信息传输是明文的 , 容易被外界截取;在今天高速发展网络世界 , 人们对于网络的依赖越来越强 。 在今天高度脆弱的网络市场 , 网络安全尤其重要 。


推荐阅读