[视频]黑客可能利用TikTok漏洞向用户显示虚假视频

尽管大多数应用已过渡到HTTPS,但研究发现,iOS和Android上的TikTok仍使用未加密的HTTP下载媒体内容。因此,TikTok继承了所有已知的和有据可查的HTTP漏洞。

这是由Talal Haj Bakry和Tommy Mysk进行的一项调查,即iOS和Android中对HTTP的向后兼容支持允许截取和更改来自TikTok等流行应用程序的数据。

%title插图%num
安全研究人员利用不安全的HTTP在TikTok上显示假视频

尽管大多数应用已过渡到HTTPS,但研究发现,iOS和Android上的TikTok仍使用未加密的HTTP下载媒体内容。因此,TikTok继承了所有已知的和有据可查的HTTP漏洞。

以下是一段有关“入侵TikTok以显示欺诈性视频(DNS攻击)”的视频内容(来源于YouTube):

入侵TikTok以显示欺诈性视频(DNS攻击)

苹果在iOS 9中引入了App Transport Security,要求所有HTTP连接都使用加密的HTTPS。Google同样更改了Android Pie中的默认网络安全配置,以阻止所有纯文本HTTP流量。但是,HTTP漏洞仍然存在,因为Apple和Google继续为开发人员提供了一种选择退出HTTPS以实现向后兼容的方法。

%title插图%num
安全研究人员利用不安全的HTTP在TikTok上显示假视频

TikTok通过HTTP传输以下内容:

  • 视频:应用显示的所有视频
  • 个人资料照片:TikTok帐户的个人资料照片
  • 视频静止图像:下载视频时显示的视频预览图像

捕获的数据表明,视频是从以下域名下载的:

  • http://v19.muscdn.com
  • http://v21.muscdn.com
  • http://v34.muscdn.com

另外,个人资料照片和静止图像可从下载:http://p16.muscdn.com。

%title插图%num
TikTok使用的HTTP网络流量
%title插图%num
Wireshark分析的TikTok流量

调查证明,可以成功拦截TikTok流量并欺骗该应用以显示假视频,就像假视频是由受欢迎且经过验证的帐户发布的一样。TikTok应用程序和TikTok服务器之间的任何路由器都可以轻松公开用户的观看历史记录,并更改个人资料照片和视频。虽然只有连接到路由器的用户才能看到恶意内容,但研究表明,如果黑客入侵了一个受欢迎的DNS服务器以包含损坏的DNS记录,则媒体数据可能会被大规模更改。

%title插图%num

本文发布者:最黑网,转载请注明出处:https://www.zuiheikeji.org/1186.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
最黑网的头像最黑网
上一篇 2020年4月19日 上午6:56
下一篇 2020年4月19日 上午9:26

猜你喜欢

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

分享本页
返回顶部