Os desenvolvedores Talal Haj Baktry e Tommy Mysk descobriram uma vulnerabilidade do TikTok que permite aos hackers trocar vídeos publicados por contas verificadas e confiáveis por contas falsas.
Para quem não sabe, o aplicativo TikTok é uma plataforma de streaming de vídeo popular com mais de 800 milhões de usuários mensais.
De acordo com os pesquisadores, as versões mais recentes do aplicativo TikTok ainda usam a Content Delivery Network (CDN) da empresa para puxar vídeos, que tem protocolo de transferência de hipertexto inseguro (HTTP) ou nenhuma criptografia em vez do protocolo seguro de transferência de hipertexto criptografado (HTTPS). .
Isso significa que um ataque man-in-the-middle (MITM) pode sequestrar e alterar os dados que estão sendo compartilhados entre o usuário e o CDN do TikTok.
“Qualquer roteador entre o aplicativo TikTok e os CDNs do TikTok pode listar facilmente todos os vídeos que um usuário baixou e assistiu, expondo seu histórico de exibição”, escreveram Mysk e Bakry em um blog. “Operadores públicos de Wifi, provedores de serviços de Internet e agências de inteligência podem coletar esses dados sem muito esforço.”
Como prova de conceito (POC), a dupla preparou uma coleção de vídeos falsos e os hospedou em um servidor que imita o comportamento dos servidores TikTok CDN. Em seguida, eles usaram métodos MITM para enganar o aplicativo TikTok para acreditar que o servidor falso era legítimo.
“Para fazer com que o aplicativo TikTok mostre nossos vídeos falsos, precisamos direcionar o aplicativo para o nosso servidor falso. Como nosso servidor falso se a por servidores TikTok, o aplicativo não pode dizer que está se comunicando com um servidor falso. Assim, consumirá cegamente qualquer conteúdo baixado dele ”, escreveu a dupla.
Os pesquisadores conseguiram alterar o conteúdo e substituir os vídeos do coronavírus (COVID-19) da Organização Mundial da Saúde (OMS) por vídeos falsos inserindo-os na conta oficial do TikTok da OMS.
“O uso de HTTP para transferir dados confidenciais ainda não foi extinto, infelizmente. Conforme demonstrado, o HTTP abre a porta para a representação do servidor e manipulação de dados. Interceptamos com sucesso o tráfego do TikTok e enganamos o aplicativo para mostrar nossos próprios vídeos como se fossem publicados por contas populares e verificadas. Isso é uma ferramenta perfeita para aqueles que tentam implacavelmente poluir a internet com fatos enganosos ”, escreveu a dupla.
Felizmente, apenas os usuários conectados diretamente ao servidor falso dos desenvolvedores foram afetados e nenhuma alteração foi feita nos servidores oficiais do TitTok.
No entanto, isso não significa que um agente malicioso não possa usar esse método para causar danos. “Se um servidor DNS popular fosse hackeado para incluir um registro DNS corrompido, como mostramos anteriormente, informações enganosas, notícias falsas ou vídeos abusivos seriam vistos em grande escala, e isso não é completamente impossível”, explicou a dupla.
O desenvolvedor Mysk também testou o tráfego de concorrentes de alto nível da TikTok, como Facebook, Instagram, YouTube, Twittere Snapchat. Ele descobriu que eles transferem todos os seus dados usando HTTPS.
“Acabei de testar todos eles: Facebook, Instagram, YouTube, Twitter, Snapchat ”, disse Mysk ao Mashable. “Eles têm ZERO rastreamentos HTTP. Eles transferem todos os seus dados usando HTTPS. ”
Apple e o Google exigem que todas as conexões HTTP usem HTTPS criptografado. No entanto, ele permite que os desenvolvedores optem pelo HTTPS para compatibilidade com versões anteriores como uma exceção.
Atualmente, a vulnerabilidade afeta o aplicativo TikTok Android versão 15.7.4 e o aplicativo iOS versão 15.5.6 e não há patch disponível no momento. Para saber mais sobre como o Mysk executou o hack do TikTok, você pode ar o site.
