TikTok: un enorme fallo permite a los hackers publicar vídeos en tu cuenta
Dos investigadores de seguridad han demostrado cómo un fallo en TikTok permite a los hackers difundir vídeos desde la cuenta de cualquier usuario de la aplicación. El alcance de este ataque puede ser importante cuando se explota en cuentas populares. Los investigadores consiguieron difundir vídeos falsos sobre el coronavirus desde las cuentas de TikTok de la OMS y la Cruz Roja británica.
Imagina un escenario en el que estás navegando por tus vídeos publicados en TikTok y, de repente, te das cuenta de que desde tu cuenta se están difundiendo contenidos que no has subido. Esto es muy posible, como han demostrado dos investigadores: Tommy Mysk y Talal Haj Bakry. Acaban de publicar un informe que demuestra que es posible que un hacker reemplace los vídeos de cualquier cuenta de TikTok/.
Como todas las redes sociales y aplicaciones de mensajería, TikTok/ se apoya en redes de distribución de contenidos (CDNs)/ para distribuir geográficamente los contenidos publicados en su plataforma. A diferencia de la mayoría de sus competidores, TikTok ha optado por entregar los vídeos a través del protocolo HTTP no seguro.
De este modo, la aplicación que cuenta con más de mil millones de usuarios en todo el mundo mejora el rendimiento de la transferencia de datos desde sus servidores. Esta es la principal ventaja de este protocolo, pero esta elección se hizo a expensas de la seguridad del usuario. De hecho, el tráfico HTTP puede ser fácilmente interceptado o incluso desviado por actores maliciosos.
TikTok: los hackers pueden difundir masivamente vídeos falsos en la red social
Aprovechando los puntos débiles del protocolo HTTP, un atacante puede intercambiar los vídeos publicados por los usuarios de TikTok con otros diferentes, incluidos los de cuentas populares. Todos los vídeos publicados en TikTok se distribuyen a los usuarios a través de diferentes CDN que dirigen los vídeos a los usuarios que los ven. Según explican los investigadores, el uso de HTTP sin cifrar en lugar de HTTPS hace posible los ataques man-in-the-middle/.
En otras palabras, un atacante puede interponerse entre la CDN y los usuarios finales con la capacidad de leer los paquetes transferidos e incluso alterarlos sustituyéndolos por flujos procedentes de otros servidores. «Así, el atacante puede difundir Fake News en un vídeo de spam en lugar de contenido realmente publicado por una celebridad o a una cuenta de confianza».
Para conseguirlo, el atacante debe conseguir primero corromper las DNS de los usuarios objetivo enviándolos a un servidor falso que imita la dirección de las CDN de TikTok. Obviamente, esta tarea no es tan sencilla, ya que el hacker tendrá que acceder a los routers de miles de usuarios para cambiar la configuración de los DNS. Sin embargo, es muy posible que los DNS populares, como los de los ISP, sean hackeados directamente para dirigir el tráfico de los usuarios de Internet a servidores maliciosos. En este caso, los vídeos falsosen TikTok podrían distribuirse potencialmente a millones de usuarios.
Los investigadores publicaron una prueba de concepto que consistía en difundir vídeos falsos sobre el coronavirus desde cuentas de confianza como las de la OMS o incluso la Cruz Roja británica y estadounidense. Sin embargo, se aseguraron de que sólo los usuarios conectados a su propia red pudieran ver los vídeos (cambiando la configuración de DNS de la red local).
Por último, este fallo sigue siendo explotable en el momento de escribir este artículo. Los investigadores recomiendan que la red social cambie al protocolo seguro HTTPS, que es defendido con firmeza por empresas como Google. Todavía se espera la reacción de TikTok.
