dns污染解决方法,TikTok视频CDN默认未启用HTTPS连接?

dns污染解决方法，TikTok视频CDN默认未启用HTTPS连接？

热门短视频应用 TikTok 近日被发现存在一个较大的安全隐患，由于部分资源内容未启用安全的 HTTPS 加密连接，导致其容易被黑客攻击而篡改。

开发者 Talal Haj Baktry 和 Tommy Mysk 以近期流行的新冠病毒资讯类视频为例，对 TikTok 默认通过 HTTP 连接的资源进行了拦截追踪和篡改攻击。

【视频截图，来自：myskapps / YouTube】

三月份的时候，专注于研究热门 App 中漏洞的两人，发现了一个能够用于窥探 iOS 用户剪贴板中内容的 bug 。

现在，Baktry 和 Mysk 又揭示了月用户 8 亿的热门短视频应用 TikTok 中的一个安全隐患 —— 即便是最新的版本，其仍在通过未加密的 HTTP 连接，来获取 CDN 上的资源。

这意味着 Android / iOS 客户端的 TikTok 用户的观看历史记录易受拦截，甚至为更隐蔽的中间人攻击（MITM）敞开了大门。

研究人员警告称，攻击者甚至可以通过入侵本地网络，将客户端上的视频替换成任何虚假的信息。

为作概念验证，二人搭建了模仿 TikTok 内容交付网络（CDN）的假服务器，然后顺利地利用 MITM 技术欺骗看 TikTok 客户端，将虚假信息视频呈现在了用户的手机屏幕上。

【Hacking TikTok to Show Fraudulent Videos - DNS Attack】

二人以充满错误信息的有关新冠病毒的编造视频片段，代替了世界卫生组织和红十字会的官方内容。Baktry 和 Mysk 写道：

“我们成功拦截了 TikTok 的流量，并欺骗客户端来显示编造后的视频，就像它是经过验证的官方账户所发布的那样。对于那些以误导事实来污染互联网内容的人们来说，这简直是一款完美的工具”。

需要指出的是，这种特定的攻击需要访问确切的路由器配置，意味着它很可能被 Wi-Fi 运营商所利用。

此外，默认以 HTTP 连接来调取 CDN 内容的方式，或导致 TikTok 被恶意的无线网络接入点、虚拟专用网、互联网服务提供商、甚至情报机构所利用。

据悉，TikTok 通过 HTTP 来传说包括视频、个人资料照片和剪辑的预览图像等信息，但视频仍是此类社交媒体平台的最主要功能。

为消除安全等方面的诸多不良影响，大多数线上服务和网站都已经转移到 HTTPS 连接。遗憾的是，尽管苹果和谷歌也向 App 开发者提出了要求，但仍提供了向后兼容的非强制性选项。

dns服务器未加密什么意思？

DNS服务器未加密意味着该服务器发送和接收的数据包都是明文的，容易被黑客截获并篡改或窃取其中的信息。这种情况下，黑客可以利用DNS欺骗攻击对合法用户进行攻击，从而导致安全风险。为了保护DNS数据的安全，可以采取加密通信的方式，例如使用TLS协议或DNSSEC技术保证数据传输时的安全性。需要注意的是，加密通信虽然可以提高数据安全性，但也会增加通信延迟和成本。