熱門短視頻應(yīng)用 TikTok 近日被發(fā)現(xiàn)存在一個(gè)較大的安全隱患，由于部分資源內(nèi)容未啟用安全的 HTTPS 加密連接，導(dǎo)致其容易被黑客攻擊而篡改。開發(fā)者 Talal Haj Baktry 和 Tommy Mysk 以近期流行的新冠病毒資訊類視頻為例，對(duì) TikTok 默認(rèn)通過 HTTP 連接的資源進(jìn)行了攔截追蹤和篡改攻擊。

視頻截圖（來自：myskapps / YouTube）

三月份的時(shí)候，專注于研究熱門 App 中漏洞的兩人，發(fā)現(xiàn)了一個(gè)能夠用于窺探 iOS 用戶剪貼板中內(nèi)容的 bug 。

現(xiàn)在，Baktry 和 Mysk 又揭示了月用戶 8 億的熱門短視頻應(yīng)用 TikTok 中的一個(gè)安全隱患 —— 即便是最新的版本，其仍在通過未加密的 HTTP 連接，來獲取 CDN 上的資源。

這意味著 Android / iOS 客戶端的 TikTok 用戶的觀看歷史記錄易受攔截，甚至為更隱蔽的中間人攻擊（MITM）敞開了大門。

研究人員警告稱，攻擊者甚至可以通過入侵本地網(wǎng)絡(luò)，將客戶端上的視頻替換成任何虛假的信息。

為作驗(yàn)證，二人搭建了模仿 TikTok 內(nèi)容交付網(wǎng)絡(luò)（CDN）的假服務(wù)器，然后順利地利用 MITM 技術(shù)欺騙看 TikTok 客戶端，將虛假信息視頻呈現(xiàn)在了用戶的手機(jī)屏幕上。

Hacking TikTok to Show Fraudulent Videos - DNS Attack（via）

二人以充滿錯(cuò)誤信息的有關(guān)新冠病毒的編造視頻片段，代替了世界衛(wèi)生組織和紅十字會(huì)的官方內(nèi)容。Baktry 和 Mysk 寫道：

“我們成功攔截了 TikTok 的流量，并欺騙客戶端來顯示編造后的視頻，就像它是經(jīng)過驗(yàn)證的官方賬戶所發(fā)布的那樣。對(duì)于那些以誤導(dǎo)事實(shí)來污染互聯(lián)網(wǎng)內(nèi)容的人們來說，這簡直是一款完美的工具”。

需要指出的是，這種特定的攻擊需要訪問確切的路由器配置，意味著它被 Wi-Fi 運(yùn)營商所利用。

此外，默認(rèn)以 HTTP 連接來調(diào)取 CDN 內(nèi)容的方式，或?qū)е?TikTok 被惡意的無線網(wǎng)絡(luò)接入點(diǎn)、虛擬專用網(wǎng)、互聯(lián)網(wǎng)服務(wù)提供商、甚至情報(bào)機(jī)構(gòu)所利用。

為消除安全等方面的諸多不良影響，大多數(shù)線上服務(wù)和網(wǎng)站都已經(jīng)轉(zhuǎn)移到 HTTPS 連接。遺憾的是，盡管蘋果和谷歌也向 抖音的開發(fā)者提出了要求，但抖音仍我行我素依然提供了向后非強(qiáng)制性選項(xiàng)。

==============================================

番外話：指責(zé)終究是有依據(jù)的！從去年底的李小璐事件，未經(jīng)同意偷偷上傳至服務(wù)器視頻，看出，都是自身不凈，審查自己，做好安全切勿大躍進(jìn)！搞智能大數(shù)據(jù)，人工智能，切勿追風(fēng)，后果將如疫情一般，將是社會(huì)災(zāi)難性的！