现在情况更糟了——人们可以创建假视频,让它们看起来就像来自经过验证和信任的账户。
这一发现是在开发人员Talal HajBaktry和汤米Mysk在一篇博客文章中分享了他们逃避现实的细节之后出现的。 主旨是令人惊讶的简单-TikTok通过标准HTTP连接从内容传递网络(CDN)提取视频。 意味着没有加密。 这意味着整件事都可以被欺骗。
现代应用程序有望保护用户的隐私和他们展示给他们的信息的完整性。 使用未加密HTTP进行数据传输的应用程序不能保证它们接收到的数据没有被监视或更改。 这就是为什么苹果在iOS9中引入应用程序传输安全,要求所有HTTP连接使用加密的HTTPS。 谷歌还改变了Android Pie中默认的网络安全配置,以阻止所有明文HTTP流量。
但苹果和谷歌都给了开发人员一种选择退出的方式,以便他们能够在需要时保持向后兼容性。 但TikTok似乎出于未知的原因使用了这种选择退出选项。 通过这样做,它就可以通过这样做来解决各种问题。 对于iOS(版本15.5.6)和Android(版本15.7.4)的TikTok仍然使用未加密的连接。
在用Wire shark从TikTok应用程序捕获和分析网络流量的短会话之后,很难错过通过HTTP传输的大量数据。 如果您仔细检查网络数据包,您将清楚地发现视频和图像在透明和未加密中传输的数据。
因此,两个开发人员开始创建他们自己的服务器,并将他们的DNS服务器指向它。 这意味着对TikTok的三个媒体服务器之一的任何请求都会转到开发人员拥有的服务器上。 然后他们去上班了。
我们准备了一组伪造的视频,并将它们托管在模仿TikTok CDN服务器行为的服务器上,即v34.muscdn.com。 为了使它简单,我们只建立了一个交换视频的场景。 我们保持个人资料照片完整,虽然他们可以类似地改变。 我们只模仿了一个视频服务器的行为。 这显示了假视频和真实视频的混合,并给用户一种可信度。
要让TikTok应用程序显示我们伪造的视频,我们需要将应用程序指向我们的假服务器。 由于我们的假服务器模拟TikTok服务器,应用程序无法判断它正在与假服务器通信。 因此,它会盲目地消耗从它下载的任何内容。
结果呢? 你自己看吧。
这种威胁确实需要有人访问您的设备正在使用的DNS服务器。 但这比你想象的要容易。 互联网服务提供商、肆无忌惮的VPN公司、政府等都可能篡改DNS条目。 尤其是如果你碰巧住在世界的某些地方。
不幸的是,使用HTTP传输敏感数据尚未灭绝。 正如演示的那样,HTTP为服务器模拟和数据操作打开了门。 我们成功拦截了TikTok流量,并愚弄应用程序显示我们自己的视频,就好像它们是由流行和验证的帐户发布的。 对于那些不断试图用误导的事实污染互联网的人来说,这是一个完美的工具。
“每月有8亿活跃用户”,TikTok真的应该增加它的游戏。 又快又快。
菲比特充电4和菲比特VersaLite具有相似的价格点和相似的特征集,因此它们必然会吸引类似的客户。 然而,它们之间有一些重要的差异,您选择哪一个将被确定哪些特性对您最重要。
彭博社(Bloomberg)的一份新报告称,苹果将比往常晚一点推出高端i手机。 但我们会得到一些东西让等待变得值得。
苹果最新的优管视频只知道如何拉心弦。
担心人们可能会通过你的MacBook上的网络摄像头来查看? 别担心! 这里有一些伟大的隐私封面,将保护您的隐私。