에 의한 조사 Talal Haj Bakry와 Tommy Mysk iOS 및 Android에서 HTTP에 대한 이전 버전과 호환되는 지원을 통해 TikTok과 같은 인기 있는 앱의 데이터를 가로채고 변경할 수 있다고 밝혔습니다.
대부분의 앱이 HTTPS로 전환했지만 iOS 및 Android의 TikTok은 여전히 암호화되지 않은 HTTP를 사용하여 미디어 콘텐츠를 다운로드하는 것으로 조사되었습니다. 결과적으로 TikTok은 잘 알려져 있고 문서화된 HTTP 취약점을 모두 상속합니다.
ios 14 업데이트는 어떻게 받나요
Apple은 iOS 9에서 App Transport Security를 도입하여 모든 HTTP 연결에서 암호화된 HTTPS를 사용해야 합니다. Google은 마찬가지로 Android Pie의 기본 네트워크 보안 구성을 변경하여 모든 일반 텍스트 HTTP 트래픽을 차단했습니다. 그러나 Apple과 Google은 개발자가 이전 버전과의 호환성을 위해 HTTPS를 선택 해제할 수 있는 방법을 계속 제공하기 때문에 HTTP 취약점은 여전히 존재합니다.
우리는 속았다 #Tik의 톡 우리의 가짜 서버에 연결합니다. 앱에 스팸 동영상이 표시되도록 타임라인을 도용했습니다. #코로나 바이러스 감염증 -19 : 코로나 19 #보안 #사이버보안 #해킹
이에 대한 자세한 내용: https://t.co/0e7RGyleIW pic.twitter.com/49BbkYbunq - 마이스크(@mysk_co) 2020년 4월 13일
조사 결과 TikTok 트래픽을 성공적으로 가로채 앱을 속여 마치 유명하고 인증된 계정에서 게시한 것처럼 가짜 비디오를 표시할 수 있음이 입증되었습니다. TikTok 앱과 TikTok 서버 사이의 모든 라우터는 사용자의 시청 기록을 쉽게 노출하고 프로필 사진 및 비디오를 변경할 수 있습니다. 라우터에 연결된 사용자만 악성 콘텐츠를 볼 수 있지만 연구에 따르면 인기 있는 DNS 서버가 손상된 DNS 레코드를 포함하도록 해킹되면 미디어 데이터가 대규모로 변경될 수 있습니다.
인기 게시물