TikTok lovar säkrare anslutningar efter sårbarhet

Efter att ett par utvecklare upptäckt en säkerhetsrisk som skulle göra det möjligt för hackare att byta ut falska videor till en Tick ​​tack användarnas flöde sa sociala medieföretaget att det rullar ut säkrare anslutningar för alla sina användare.

Hacket förgriper sig på TikToks användning av grundläggande okrypterade HTTP-anslutningar i vissa regioner för att distribuera media genom dess innehållsleveransnätverk. Mjukvaruutvecklarna Tommy Mysk och Talal Haj Bakry fann att denna säkerhetslucka gjorde det enkelt för dem att infoga sina egna falska videor i TikTok-flödena under anslutningen.

Rekommenderade videor

Som svar berättade TikTok för Digital Trends att det rullar ut den säkraste HTTPS-anslutningen till alla dess regioner.

"TikTok prioriterar användardatasäkerhet och använder redan HTTPS i flera regioner, eftersom vi arbetar för att fasa in det på alla marknader där vi är verksamma", sa en talesman till Digital Trends.

TikToks nätverk i USA använder redan HTTPS, vilket betyder att när du tittar på TikTok i USA kan ingen läsa data som strömmar mellan din telefon och TikToks databas.

Utvecklarna som hittade sårbarheten kunde få videor som visar falska påståenden om coronaviruset att visas på en användares flöde. De kunde till och med utge sig för andra användare.

Relaterad

  • Rensa läge på TikTok: Här är vad det är och hur man använder det
  • TikTok växlar till foton medan dess konkurrenter fortfarande jagar sina virala videor
  • TikTok förbjuder kampanjinsamling på sin app

Vi lurade #Tick tack för att ansluta till vår falska server. Vi kapade tidslinjen så appen visar spamvideor om #COVID 19#Säkerhet#Cybersäkerhet#Dataintrång
För mer om detta: https://t.co/0e7RGyleIWpic.twitter.com/49BbkYbunq

— Mysk (@mysk_co) 13 april 2020

Eftersom servern som utvecklarna kommer åt är okrypterad, är det lätt att skapa en falsk server som agerar på samma sätt som TikToks, och lura telefonen att visa en falsk video med felaktig information.

"Det är därför det är farligt att använda HTTP och bör betraktas som ett cyberbrott nuförtiden", säger Mysk till Digital Trends. "Det är därför vår bransch introducerade HTTPS - S står för säker. Den gör precis vad HTTP gör men kommunikationen är krypterad. Det är svårt, väldigt svårt, att imitera servrar.”

HTTPS är inte 100 % okrossbar. Det finns dock enighet om att använda HTTPS för att transportera data som anses vara viktiga för säkerheten i samhällen. Videor från @WHO och @Röda Korset måste hanteras som känsliga uppgifter.
Vem vet! Kanske denna blunder har orsakat #ToalettpapperPanic

— Tommy Mysk (@tommymysk) 14 april 2020

Effekten är nätverksbaserad: Mysk sa till Digital Trends att han kunde lura ett Wi-Fi- eller datanätverk att omdirigera till sin falska TikTok-server, men den skulle återgå till den riktiga servern när en användare lämnade nätverket.

Detta kan dock fortfarande vara ett problem om hackare hittar in i ett stort nätverk, till exempel en stor mobil- eller internetleverantör. Den dåliga skådespelaren skulle kunna omdirigera trafiken för alla som använder nätverket till sina egna ändamål.

Eller om en regering kontrollerar internet, kan regimen använda den här metoden för att i princip radera TikTok-videor, sa utvecklarna.

De Världshälsoorganisationen har samarbetat med TikTok för att minska spridningen av felaktig information, och i januari, TikTok har ändrat sina riktlinjer för samhället att säga att de skulle ta bort allt "vilseledande" innehåll från plattformen.

Redaktörens rekommendationer

  • TikTok-användare stämmer för att upphäva Montanas statliga förbud mot appar
  • Läcker TikTok utkast? Låt oss ta en närmare titt på detta rykte
  • Du kan nu rösta ned kommentarer på TikTok-videor
  • Denna älskade TikTok-hashtag har precis fått sin egen appfunktion
  • TikTok Now är det senaste försöket att klona BeReal

Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.