Imagínese esto: se está desplazando por su feed de TikTok un día y, de repente, nota un video que no subió publicado en su cuenta.
Es muy posible, ya que un equipo de desarrolladores de software descubrió una vulnerabilidad en la plataforma de video social viral que permite a un atacante intercambiar videos en cualquier cuenta de TikTok.
pexels
En una publicación que comparte sus hallazgos, los desarrolladores Tommy Mysk y Talal Haj Bakry explican que TikTok usa Content Delivery Networks, o CDN, para transferir sus datos de manera más efectiva en todo el mundo.
Para mejorar el rendimiento, estos CDN transfieren los datos a través de HTTP.
El problema con la elección de HTTP sin cifrar sobre el HTTPS más seguro es que pone en riesgo la privacidad de los usuarios.
«Cualquier enrutador entre la aplicación TikTok y los CDN de TikTok puede enumerar fácilmente todos los videos que un usuario ha descargado y visto, exponiendo su historial de reproducción», escriben Mysk y Bakry.
«Los operadores públicos de Wifi, los proveedores de servicios de Internet y las agencias de inteligencia pueden recopilar estos datos sin mucho esfuerzo«.
Si bien Apple y Google se han movido para exigir que las aplicaciones usen HTTPS cifradas, hay algunas excepciones para los desarrolladores que eligen usar HTTP.
Debido a que TikTok transfiere datos como videos y fotos de perfil a través de HTTP, los desarrolladores descubrieron que era susceptible a ataques de intermediarios.
Básicamente, podrían alterar el contenido en la transmisión e intercambiar un video real en una cuenta con uno falso de su elección.
Los desarrolladores proporcionaron un ejemplo para mostrar cuán problemático puede ser este asunto al infligir un ataque de DNS en una red local.
Utilizando la vulnerabilidad que descubrieron, el dúo subió un video que compartía información errónea sobre el coronavirus y lo inyectó en la cuenta TikTok de la Organización Mundial de la Salud para que pareciera uno de los videos de la organización.
El equipo logró utilizar el mismo proceso para mostrar cargas fraudulentas en otras cuentas verificadas de TikTok, como la Cruz Roja y el perfil oficial de la plataforma de video.
Para hacer esto, el dúo necesitaba engañar a la aplicación TikTok para dirigirla a un servidor falso que habían configurado y que imitaban los servidores CDN de TikTok.
«Esto lo pueden lograr los actores que tienen acceso directo a los enrutadores a los que están conectados los usuarios», explican en su publicación.
El resultado significa ver los cambios realizados por Mysk y Bakry con la aplicación TikTok, un usuario necesitaría estar conectado a su enrutador doméstico.
Para ser claros, el intercambio de videos no ocurre en los servidores de TikTok. Pero eso no significa que un actor malicioso no pueda usar este método para causar un daño real.
«Si un servidor DNS popular fue pirateado para incluir un registro DNS corrupto… la información engañosa, noticias falsas o videos abusivos se verían a gran escala», explicaron los desarrolladores. «Esto no es completamente imposible».
El desarrollador Tommy Mysk confirmó a Mashable que la elección de transferir datos a través de HTTP sobre HTTPS distingue a TikTok de la mayoría de sus competidores de alto perfil.
«Acabo de probarlos todos: Facebook, Instagram, YouTube, Twitter, Snapchat», dijo Mysk en un mensaje a Mashable. “Tienen rastros HTTP CERO. Transfieren todos sus datos utilizando HTTPS”.
A principios de este año, la firma de seguridad cibernética Check Point descubrió una serie de fallas de seguridad en la aplicación TikTok, incluida una que permitía a los piratas informáticos tomar el control de la cuenta de un usuario. La plataforma de video viral se movió para solucionarlos.
Poco después, el equipo de Mysk y Bakry descubrió otro problema de seguridad de TikTok que permitió a la aplicación espiar el historial del portapapeles de su iPhone.
TikTok siempre ha tenido que demostrar ser una plataforma segura para sus usuarios debido a su conexión con su empresa matriz con sede en China, Bytedance.
Incluso se ha prohibido a algunos trabajadores del gobierno de EE. UU. el uso de la aplicación. Este último problema de seguridad probablemente no es una buena noticia para la empresa.