Расследование, проведенное Талалом Хадж Бакри и Томми Миском, показало, что обратная совместимость поддержки HTTP в iOS и Android позволяет перехватывать и изменять данные из популярных приложений, таких как TikTok.

Хотя большинство приложений перешли на HTTPS, исследование обнаружило, что TikTok на iOS и Android по-прежнему использует незашифрованный HTTP для загрузки медиаконтента. Следовательно, TikTok наследует все известные и хорошо документированные уязвимости HTTP.

Apple представила App Transport Security в iOS 9, требуя, чтобы все HTTP-соединения использовали зашифрованный HTTPS. Аналогично, Google изменил конфигурацию сетевой безопасности по умолчанию в Android Pie для блокировки всего трафика HTTP в открытом виде. Однако уязвимости HTTP по-прежнему существуют, поскольку Apple и Google продолжают предоставлять разработчикам возможность отказаться от HTTPS для обеспечения обратной совместимости.

Расследование доказало, что возможно успешно перехватить трафик TikTok и обмануть приложение, заставив его показывать поддельные видео, как будто они были опубликованы популярными и проверенными аккаунтами. Любой маршрутизатор между приложением TikTok и серверами TikTok может легко раскрыть историю просмотров пользователя и изменять фотографии профиля и видео. Хотя злонамеренный контент увидят только пользователи, подключенные к маршрутизатору, исследование предполагает, что если бы популярный DNS-сервер был взломан с добавлением поврежденной DNS-записи, медиаданные могли бы быть изменены в большом масштабе.