据悉,短视频应用 TikTok 近日被两名 iOS 开发者用一个简单的技巧成功欺骗,并将其连接到自己的假服务器上。
由于 TikTok 采用 HTTP 而不是 HTTPS 从公司的 CDN 中提取媒体内容,使用 HTTP 可以提高数据传输性能。但由于缺乏数据加密,这使用户处于危险之中。
上述开发者 Mysk 在入侵后做了一些令人恐惧的事情,他们开始通过 DNS 攻击将 TikTok 用户发布的视频切换为他们自己的视频。这些视频共享了新冠病毒爆发的虚假信息。
上述开发者的举动并没有恶意,他们的攻击仅影响直接连接开发人员服务器的用户,只想证明攻击是可能的。
但这验证了 TikTok 的脆弱,如果他们能轻易攻入,那么其他恶意攻击者也能做到。此外,不切换到 HTTPS 还将使 TikTok 面临许多其他与 HTTP 相关的安全漏洞。
据悉,TikTok 被攻击的版本为 Android 版 TikTok 5.7.4 和 iOS 版 15.5.6。
几天前,TikTok 达到了一个新的里程碑,在 Google Play 商店中的下载量已超过 10 亿。并且这仅是 Android 用户量,它还拥有许多 iOS 用户。安全对 TikTok 来说至关重要。
微信扫一扫