Dos investigadores de seguridad han demostrado cómo una falla en TikTok permite a los hackers transmitir videos desde la cuenta de cualquier usuario de la aplicación. El alcance de este ataque puede ser significativo cuando se explota en cuentas populares. Los investigadores publicaron con éxito videos falsos de coronavirus de la cuenta TikTok de la OMS y la Cruz Roja Británica.
Imagina un escenario en el que estás navegando por tus videos publicados en TikTok y de repente notas que el contenido que no ha publicado en línea se transmite desde tu cuenta. Esto es bastante posible, como lo demuestran dos investigadores: Tommy Mysk y Talal Haj Bakry. Ellos acaban de publicar un informe que muestra que es posible que un hacker reemplace videos en cualquier cuenta de TikTok.
Al igual que todas las redes sociales y aplicaciones de mensajería, TikTok se basa en redes de distribución de contenido (CDN) para distribuir geográficamente el contenido publicado en su plataforma. A diferencia de la mayoría de sus competidores, TikTok ha elegido transmitir videos a través del protocolo HTTP no seguro.
Al hacerlo, la aplicación, que tiene más de mil millones de usuarios en todo el mundo, mejora el rendimiento de transferencia de datos desde sus servidores. Esta es la principal ventaja de este protocolo, pero esta elección se realizó a expensas de la seguridad del usuario. De hecho, el tráfico HTTP puede ser fácilmente interceptado o incluso desviado por actores maliciosos.
TikTok: los hackers pueden distribuir masivamente videos
Al explotar las debilidades del protocolo HTTP, un atacante puede intercambiar videos publicados por usuarios de TikTok con diferentes videos, incluidos los de cuentas populares. Todos los videos publicados en TikTok se distribuyen a los usuarios a través de diferentes CDN que enrutan los videos a los usuarios que los ven. Como explican los investigadores, el uso del protocolo HTTP sin cifrar en lugar de HTTPS hace posible los ataques de hombre en el medio.
En otras palabras, un hacker puede interferir entre el CDN y los usuarios finales con la capacidad de leer los paquetes transferidos, o incluso alterarlos al reemplazarlos con transmisiones de otros servidores. «Por lo tanto, el atacante puede transmitir Fake News en un video de spam en lugar de contenido realmente publicado por una celebridad o en una cuenta de confianza».
Para hacer esto, el hacker debe primero corromper el DNS de los usuarios objetivo enviándolos a un servidor falso que imita la dirección de los CDN de TikTok. Obviamente, esta tarea no es tan simple ya que el hacker tendrá que acceder al enrutador de miles de usuarios para cambiar la configuración de DNS. Sin embargo, es muy posible que los DNS populares como el de los ISP puedan ser pirateados directamente para enrutar el tráfico de Internet a servidores maliciosos. En este caso, los videos falsos en TikTok podrían transmitirse potencialmente a millones de usuarios.
Los investigadores publicaron una prueba de concepto que consistía en distribuir videos falsos sobre el coronavirus desde cuentas confiables como las de la OMS o la Cruz Roja Británica y Americana. Sin embargo, se han organizado para que solo los usuarios conectados a su propia red puedan ver los videos (modificación de los parámetros DNS de la red local).
Los investigadores recomiendan que la red social cambie al protocolo seguro HTTPS, que está fuertemente defendido por empresas como Google.
