Kibertəhlükəsizlik sahəsində tədqiqatçılar Tommi Maysk və Təlal Hərc Bəkri populyar “TikTok” servisində hakerlərə digər istifadəçilərə məxsus hesabların adından videoçarxlar yerləşdirməyə imkan verən boşluq aşkarlayıblar. Eksperiment kimi onlar “TikTok” istifadəçilərinin səhifələrinə koronavirus haqqında, guya, Ümumdünya Səhiyyə Təşkilatı tərəfindən dərc edilən saxta videolar əlavə ediblər.
“ICTnews” Elektron Xəbər Xidməti “NEWSru” resursuna istinadən yazır ki, “TikTok”da sürətli məlumat mübadiləsi üçün kontent çatdırma şəbəkələrindən (Content Delivery Networks, CDN) istifadə olunur. “CDN”də isə öz növbəsində daha yüksək məhsuldarlıq üçün təhlükəli “HTTP” protokolu tətbiq edilir. Təhlükəsiz “HTTPS” protokolu əvəzinə, təhlükəli “HTTP” protokolundan istifadə istifadəçiləri təhlükə altında qoyur.
“TikTok” əlavəsi və onun istifadə etdiyi “CDN” arasında istənilən marşrutlayıcı istifadəçi tərəfindən yüklənilən və baxılan bütün videoları asanlıqla qeydə almaqla onun bütün baxış tarixçəsini ələ keçirməyə imkan verir. Açıq “Wi-Fi” şəbəkə operatorları, internet provayderləri və kəşfiyyat xidmətləri çətinlik çəkmədən bu məlumatları toplaya bilərlər”, – tədqiqatçılar qeyd edib.
Bundan başqa, “HTTP” protokolundan istifadə hakerlərə “TikTok” servisinə hücum etməyə və bu və ya digər istifadəçinin həqiqi videoçarxlarını saxtaları ilə əvəzləməyə imkan verir. Təhlükənin reallığını nümayiş etdirmək üçün kibertəhlükəsizlik üzrə tədqiqatçılar “Man in the middle” (“ortadakı adam”) hücumunu həyata keçirərək koronavirus haqqında saxta videonu Ümumdünya Səhiyyə Təşkilatı və “TikTok” servisinin hesabına yükləyiblər.
Bildirilir ki, hücumun həyata keçirilməsi üçün tədqiqatçılar özünü “CDN” serveri kimi qələmə verən serveri sazlayaraq aldadıcı yolla “TikTok” proqramını ona qoşulmağa məcbur ediblər. Buna bilavasitə istifadəçi marşrutlayıcısını ələ keçirməklə nail olmaq mümkündür. Beləliklə, saxta video yalnız hücum edilmiş şəbəkəyə yüklənilir, lakin cinayətkarlar tərəfindən populyar “DNS” serverinə müdaxilə edilsə, çoxlu “TikTok” istifadəçisi aldadıla bilər.
Qeyd edək ki, bu, son vaxtlar “TikTok”da aşkarlanan ilk ciddi təhlükə deyil. Belə ki, ilin əvvəlində “Check Point” şirkəti hakerlərə başqalarının “TikTok” hesablarını idarə etməyə imkan verən boşluq aşkarlayıb. Daha sonra tədqiqatçılar Tommi Maysk və Təlal Hərc Bəkri tərəfindən proqrama “iPhone” smartfonunun məlumat mübadiləsi buferinə çıxışa imkan verən təhlükəsizlik səhvi aşkarlanıb.
Nizam Nuriyev