Tommy Mysk
在這幾年竄紅的短影片社交軟體抖音(TikTok),不僅爆發資料會傳回中國的爭議,引發用戶告上美國法庭,更導致該國軍方禁止官兵使用,也多次出現嚴重漏洞,讓駭客能隨意擺布用戶帳號,而最近,有兩名行動裝置開發者Tommy Mysk和Talal Haj Bakry發現,抖音手機應用程式下載影音內容的過程,並未經由加密的HTTPS協定保護,很有可能導致所謂的中間人攻擊(MitM),駭客能夠藉此冒用名人或是國際組織的名義,來散布不實的訊息。因此他們呼籲字節跳動(ByteDance),要正視這個問題,並儘速處置。
這兩名開發者指出,所有擁有大量使用者的社群媒體,都是仰賴內容傳遞網路(CDN)來大量發送資料到全球各地,抖音也不例外,但是他們使用免費的網路封包分析軟體Wireshark分析流量後發現,抖音的CDN使用了HTTP協定,來傳送影片和其他的資料到用戶手機。他們測試了iOS的15.5.6版與Android的15.7.4版抖音App,都出現上述沒有使用加密措施來保護網路流量的情況。這些未加密傳輸的內容,包含了影片、影片預告畫面,以及用戶帳號的頭像等。
兩名行動裝置開發者Tommy Mysk和Talal Haj Bakry透過Wireshark發現,抖音的內容傳遞網路(CDN)竟使用了未加密的HTTP協定,來傳送影片到用戶端。
這種漏洞如果遭到濫用,駭客能夠藉此從中竄改用戶端下載的內容,特別是影片的部分。為了驗證可能會帶來的影響,Tommy Mysk和Talal Haj Bakry事先準備了一系列偽造的影片,並且上架到假的抖音CDN伺服器,然後引導手機應用程式到假的CDN伺服器下載影片,手機的使用者便會看到他們所準備的假內容。
兩名行動應用程式開發者發動了概念驗證攻擊,向用戶端抖音App傳送假的影片內容,像是冒名美國歌手Loren Gray的貼文,宣稱吸煙能殺死武漢肺炎病毒,或者是以世界衛生組織的名義,指出洗手過於頻繁會導致皮膚癌等不實訊息。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-12-23