Os desenvolvedores Tommy Mysk e Talal Haj Bakry descobriram uma nova vulnerabilidade no TikTok que possibilita postar vídeos na plataforma usando perfis de terceiros sem autorização. Com um truque simples, eles conseguiram divulgar gravações falsas até na conta da Organização Mundial da Saúde (OMS) no app.
De acordo com eles, o problema está no protocolo HTTP não criptografado utilizado pelo aplicativo para obter conteúdo de mídia, em vez do HTTPS, que é bem mais seguro. Desta forma, há um ganho no desempenho da transferência de dados, porém a falta de criptografia deixa as informações dos usuários em risco.
Explorando esta falha com um ataque DNS a uma rede local, os pesquisadores de segurança foram capazes de alterar o conteúdo original das postagens e substituir os vídeos reais dos usuários escolhidos por outros falsos. No vídeo abaixo, publicado por eles, é possível ver a exibição das gravações na conta da OMS.
A boa notícia é que a substituição dos vídeos ocorreu apenas na rede doméstica que sofreu o ataque, não afetando o servidor do TikTok. Ou seja, apenas quem estava conectado a aquele roteador viu as modificações feitas por Mysk e Bakry, conforme revelado no blog oficial da dupla.
Falha pode ser explorada em escala maior
Os vídeos que eles colocaram no ar, em substituição ao conteúdo original, trazia informações falsas sobre o novo coronavírus. Além da conta oficial da OMS, eles conseguiram realizar a substituição em outros perfis verificados da plataforma, como da Cruz Vermelha Americana, Cruz Vermelha do Reino Unido e até mesmo o perfil oficial do TikTok.
Caso fossem acessados por um número maior de usuários fora da rede usada para demonstrar a falha, os vídeos poderiam deixar muitas pessoas em dúvida sobre a covid-19. E para que isso aconteça, basta que a vulnerabilidade seja explorada por cibercriminosos em uma escala maior, conforme os desenvolvedores, invadindo os servidores DNS populares.
Para evitar algo do tipo, os pesquisadores sugerem que o TikTok atualize a tecnologia de transferência de dados confidenciais, aderindo aos padrões do setor em termos de privacidade e proteção de dados, aumentando a segurança para os mais de 800 milhões de usuários da plataforma.
Categorias