La vulnerabilità di TikTok consente agli hacker di sostituire i tuoi video con falsi

Gli sviluppatori Talal Haj Baktry e Tommy Mysk hanno scoperto una vulnerabilità di TikTok che consente agli hacker di scambiare i video pubblicati da account verificati e affidabili con quelli falsi.

Per chi non lo sapesse, l’app TikTok è una popolare piattaforma di streaming video con oltre 800 milioni di utenti mensili.

Secondo i ricercatori, le ultime versioni dell’app TikTok utilizzano ancora la Content Delivery Network (CDN) dell’azienda per estrarre i video, che ha un protocollo di trasferimento ipertestuale non sicuro o non crittografato (HTTP) invece del protocollo sicuro di trasferimento ipertestuale crittografato (HTTPS) . .

Ciò significa che un attacco man-in-the-middle (MITM) può dirottare e alterare i dati condivisi tra l’utente e il CDN di TikTok.

“Qualsiasi router tra l’app TikTok e i CDN di TikTok può facilmente elencare tutti i video che un utente ha scaricato e guardato, esponendo la cronologia delle visualizzazioni”, hanno scritto Mysk e Bakry in un post sul blog. “Gli operatori Wi-Fi pubblici, i provider di servizi Internet e le agenzie di intelligence possono raccogliere questi dati senza troppi sforzi”.

Come proof of concept (POC), il duo ha preparato una raccolta di video contraffatti e li ha ospitati su un server che imita il comportamento dei server CDN di TikTok. Hanno quindi utilizzato i metodi MITM per indurre l’app TikTok a pensare che il server falso fosse legittimo.

“Affinché l’app TikTok possa mostrare i nostri video falsi, dobbiamo indirizzare l’app al nostro server falso. Poiché il nostro server falso si maschera da server TikTok, l’app non può dire che sta comunicando con un server falso. Quindi consumerà ciecamente qualsiasi contenuto scaricato “, ha scritto il duo.

I ricercatori sono stati in grado di modificare il contenuto e sostituire i video del coronavirus (COVID-19) dell’Organizzazione mondiale della sanità (OMS) con quelli falsi inserendoli nell’account TikTok ufficiale dell’OMS.

“Sfortunatamente, l’uso di HTTP per trasferire dati sensibili non è ancora estinto. Come dimostrato, HTTP apre la porta allo spoofing del server e alla manipolazione dei dati. Abbiamo intercettato con successo il traffico di TikTok e abbiamo indotto l’app a mostrare i nostri video come pubblicati da account popolari e verificati. Questo lo rende uno strumento perfetto per coloro che cercano instancabilmente di inquinare Internet con fatti fuorvianti “, ha scritto il duo.

Fortunatamente, solo gli utenti collegati direttamente al falso server degli sviluppatori sono stati interessati e non sono state apportate modifiche ai server ufficiali di TitTok.

Tuttavia, ciò non significa che un malintenzionato non possa utilizzare questo metodo per causare danni. “Se un popolare server DNS venisse violato per includere un record DNS corrotto come abbiamo mostrato sopra, vedresti informazioni fuorvianti, notizie false o video offensivi su larga scala, e questo non è del tutto impossibile”, ha spiegato il duo.

Lo sviluppatore Mysk ha anche testato il traffico di concorrenti TikTok di alto profilo come Facebook, Instagram, YouTube, Twitter e Snapchat. Ho scoperto che trasferiscono tutti i loro dati utilizzando HTTPS.

“Li ho provati tutti: Facebook, Instagram, YouTube, Twitter, Snapchat”, ha detto Mysk. Mashable. “Hanno ZERO tracce HTTP. Trasferiscono tutti i loro dati utilizzando HTTPS. ”

Sia Apple che Google richiedono che tutte le connessioni HTTP utilizzino HTTPS crittografato. Tuttavia, consente agli sviluppatori di scegliere di non utilizzare HTTPS per la compatibilità con le versioni precedenti come eccezione.

Attualmente, la vulnerabilità interessa la versione 15.7.4 dell’applicazione TikTok per Android e la versione 15.5.6 dell’applicazione iOS e al momento non è disponibile alcuna patch. Per saperne di più su come Mysk ha eseguito l’hack di TikTok, puoi andare dal suo sito web.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *