Осторожно, пользователи TikTok! хакеры могут подменять ваши видео своими

Осторожно, пользователи TikTok! хакеры могут подменять ваши видео своими

Разработчики мобильных приложений Tommy Mysk и Talal Haj Bakry только что опубликовали статью в блоге, озаглавленную «Уязвимость TikTok позволяет хакерам показывать пользователям поддельные видеоролики».

Насколько мы видим, они правы.

(Мы воспроизвели их результаты с немного более старой версией Android TikTok, выпущенной несколько дней назад, 15.5.44; их тесты включали в себя самые последние сборки на Android и iOS, нумеруемые соответственно 15.7.4 и 15.5.6.)

Тестеры использовали аналогичный подход как  Mysk и Haj Bakry для анализа сетевого трафика, создаваемого TikTok -  установили приложение tPacketCapture на Android, а затем некоторое время запускали приложение TikTok, чтобы пролистать несколько популярных видео. Приложение tPacketCapture работает скорее как tcpdump на компьютерах Unix / Linux, регистрируя ваши сетевые пакеты в файле с именем .pcap (сокращение от захвата пакетов), который вы можете проанализировать позже на досуге.

Импортировав наш файл .pcap обратно в Wireshark в Linux, который автоматически «разбирает» захваченные пакеты, чтобы предоставить вам читаемую интерпретацию их содержания.

Как и следовало ожидать, многие сетевые диалоги TikTok шифруются с использованием TLS для создания HTTPS (защищенных HTTP) соединений, как вы можете видеть, извлекаем ли мы репрезентативное подмножество установочных пакетов TLS из нашего файла захвата:

Какой вред причинен?

В этот момент у вас может возникнуть вопрос: «Если все данные, передаваемые по HTTP, уже доступны для просмотра, какой вред это может причинить?»

Например, нам потребовалось несколько секунд, чтобы извлечь эти изображения аватаров и видеоизображения непосредственно из незашифрованных данных, которые мы нашли в   дампе пакетов:

Но мы также смогли просматривать весь этот контент в приложении без входа в систему - иными словами, эти изображения уже были задуманы людьми, которые загружали их в первую очередь, для того, чтобы их могли видеть все, кто хотел посмотреть.

Фактически, любой, кто просто скачал и поиграл с приложением TikTok в течение нескольких минут, как мы.

Однако, как отмечали в своей статье Миск и Хадж Бакри, есть две важные причины, по которым приложения такого рода должны использовать HTTPS для всего:

Конфиденциальность. Любой, кто прослушивает ваш трафик TikTok, может легко определить, какие видео вы смотрите, какие профили вы встречали и порядок, в котором вы перемещаетесь по сайту. Это удаляет вашу анонимность  - например, ваши симпатии, антипатии и интересы; возможно даже намеки о ваших друзьях и семье. И у приложений просто нет оправдания тому, чтобы другие люди в сети делали подобные выводы посредством простого перехвата сети.

Подлинность. Любой, кто может перенаправить ваши веб-запросы на собственный сервер - например, владелец сети Wi-Fi в вашем здании или доме - может изменить HTTP-трафик незамеченным, чтобы он мог показывать вам фальшивые видео вместо тех, которые вы используете.

Помните, что HTTPS не только шифрует трафик, который вы получаете, чтобы другие люди не могли отслеживать его, но также защищает его целостность, чтобы он не мог быть подделан по пути.

Доулад  Mysk и Haj Bakry содержит несколько коротких видеороликов, показывающих фальшивые новости о коронавирусе, вставленные в приложение TikTok, где вы, конечно, не ожидаете их увидеть.

Они доставили свои «поддельные новости», заминировав свой собственный сетевой маршрутизатор, чтобы перенаправить запросы из CDN TikTok на использование своего собственного видеосервера. Но если бы приложение TikTok повсеместно использовало HTTPS, такой обман был бы значительно более сложным, поскольку у его маршрутизатора не было бы правильного сертификата HTTPS, чтобы поручиться за их замененный контент, поэтому приложение отклонило бы его.

Что делать? Вечный русский вопрос!

Насколько мы можем видеть, TikTok совершил ту же ошибку в программировании, что и Tinder (и затем поспешно исправил) в 2018 году.

Обычный веб-сайт TikTok, похоже, использует HTTPS для показа видео; но его приложение, возможно по причинам простоты и скорости нет.

Это хорошая новость, потому что это означает, что CDN TikTok уже отлично оборудован для обработки запросов HTTPS, и поэтому компания должна иметь возможность быстро обновить свое приложение, чтобы оно появилось в 2020 году.

Тем временем мы повторим совет, который мы дали, когда Tinder поспешил добавить HTTPS в свое приложение два года назад:

Для пользователей TikTok. Будьте осторожны, насколько серьезно вы относитесь к любым видео, которые вы видите в приложении - их можно довольно легко заменить. Если это видео о том, как кто-то бросает Ментос в унитаз, наполненный диетической Пепси, фальсификация не имеет большого значения. Но если вы ищете совет по пандемии коронавируса, не полагайтесь на видео TikTok, пока эта проблема не будет устранена. Если вы беспокоитесь о том, сколько других людей в вашей сети могут узнать о вас, подслушивая ваши привычки просмотра TikTok, прекратите использовать приложение TikTok и вместо этого придерживайтесь посещений веб-сайта.

Для программистов TikTok. У вас уже есть все изображения и видео на защищенных серверах, так что перестаньте резать углы (мы полагаем, вы подумали, что это ускорит мобильное приложение, чтобы изображения были незашифрованными). Переключите ваше мобильное приложение, чтобы использовать HTTPS повсюду.

Для разработчиков программного обеспечения везде. Не позволяйте менеджерам продуктов ваших мобильных приложений заставлять вас использовать ярлыки безопасности. Если вы занимаетесь аутсорсингом вашей мобильной разработки, не позволяйте команде разработчиков убедить вас, что форма должна работать быстрее, чем функционирует.