براساس گزارشهای منتشر شده، محققان امنیتی موفق به شناسایی یک نقص امنیتی در سرویس برنامه تیکتاک (TikTok) شدهاند که به یک مهاجم محلی اجازه میدهد، ویدیویی که به کاربر نمایش داده میشود را تحت کنترل گرفته و به جای آن محتوای تولید شده توسط خود را نمایش دهد.
محققان ثابت کردهاند که مهاجمان از حمله فرد میانی (MiTM) علیه دستگاههایی که در آنها برنامه تیکتاک اجرا میشود، میتوانند استفاده کنند که براساس سناریو حمله آنها، در نهایت ویدیویی که کاربر مشاهده میکند، یک محتوای کاملاً قانونی و متعبر به نظر برسد.
همچنین براساس اطلاعات منتشر شده، دلیل بهوجود آمدن این نقص امنیتی، استفاده سرویس تیکتاک از پروتکل HTTP برای تبادل ویدیوها از طریق شبکه CDN این سرویس اشتراکگذاری ویدیویی است که بهصورت ناامن پیادهسازی و اجرا شده است. گفتنی است این فرآیند به مهاجمان اجازه میدهد که به راحتی ترافیک در جریان کاربران را در داخل شبکه شناسایی و تغییر دهند.
در حال حاضر، نسخههای 15.5.6 برنامه تیکتاک در iOS نسخه 15.7.4 در اندروید، در برابر این نقص امنیتی آسیبپذیر هستند.
توضیحات بیشتر:
- TikTok Flaw Allows Threat Actors to Plant Forged Videos in User Feeds