隨著武漢肺炎持續在各地延燒,許多國家相繼採取居家隔離措施,使得能快速發布影片的社交軟體使用量大增,這些應用系統的安全也格外受到關切。例如,因大受美國民眾歡迎的短影片社交軟體抖音(TikTok),最近被兩名行動裝置開發者Tommy Mysk和Talal Haj Bakry發現,手機的應用程式下載影音內容的過程,並未經由加密的HTTPS協定保護,很有可能導致所謂的中間人攻擊(MitM),駭客能夠藉此冒用名人或是國際組織的名義,來散布不實的訊息。因此,他們呼籲字節跳動(ByteDance),要正視這個問題。
這兩名開發者指出,所有擁有大量使用者的社群媒體,都是仰賴內容傳遞網路(CDN)來大量發送資料到全球各地,抖音也不例外,但是他們使用免費的網路封包分析軟體Wireshark分析流量後發現,抖音的CDN使用了HTTP協定,來傳送影片和其他的資料到用戶手機。他們測試了iOS的15.5.6版與Android的15.7.4版抖音App,都出現上述沒有使用加密措施來保護網路流量的情況。這些未加密傳輸的內容,包含了影片、影片預告畫面,以及用戶帳號的頭像等。
兩名行動裝置開發者Tommy Mysk和Talal Haj Bakry透過Wireshark發現,抖音的內容傳遞網路(CDN)竟使用了未加密的HTTP協定,來傳送影片到用戶端。
這種漏洞如果遭到濫用,駭客能夠藉此從中竄改用戶端下載的內容,特別是影片的部分。為了驗證可能會帶來的影響,Tommy Mysk和Talal Haj Bakry事先準備了一系列偽造的影片,並且上架到假的抖音CDN伺服器,然後引導手機應用程式到假的CDN伺服器下載影片,手機的使用者便會看到他們所準備的假內容。
兩名行動應用程式開發者發動了概念驗證攻擊,向用戶端抖音App傳送假的影片內容,像是冒名美國歌手Loren Gray的貼文,宣稱吸煙能殺死武漢肺炎病毒,或者是以世界衛生組織的名義,指出洗手過於頻繁會導致皮膚癌等不實訊息。
"假的" - Google 新聞
April 19, 2020 at 11:52PM
https://ift.tt/2wV1F4y
短影片社交軟體抖音驚傳流量傳輸未加密,恐造成中間人攻擊,並藉此傳送假訊息 - iThome Online
"假的" - Google 新聞
https://ift.tt/2TdWODD
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
Bagikan Berita Ini
0 Response to "短影片社交軟體抖音驚傳流量傳輸未加密,恐造成中間人攻擊,並藉此傳送假訊息 - iThome Online"
Post a Comment