TikTok, nuova falla alla sicurezza: i video possono essere sostituiti tramite attacco DNS

La popolarità ha anche un lato scuro. Attirando l’attenzione, possono essere scoperte importanti falle alla sicurezza che mettono a rischio la privacy degli utenti. Lo sanno bene Zoom e TikTok. Quest’ultima è nuovamente finita sotto la lente di ingrandimento di due sviluppatori iOS (Mysk) che hanno mostrato come sia possibile sostituire i video e le immagini presenti sulla piattaforma con altri contenuti semplicemente permettendo all’applicazione di collegarsi a un server diverso.

Com’è possibile? TikTok utilizza lo standard HTTP - a discapito del più sicuro HTTPS – che stabilisce una connessione con il Content Delivery Network (CDN) della società. L’uso di questo standard migliora le prestazioni di trasferimento dati, ma mette a rischio la sicurezza e la privacy degli utenti a causa della mancanza di crittografia. A quanto pare, l’app trasporta via HTTP solo alcuni contenuti: video, foto di profilo e immagini delle anteprime dei video. Praticamente, tutti i principali contenuti su cui si basa il successo dell’applicazione.

Tutto ciò permette dunque ai malintenzionati di eseguire i cosiddetti attacchi MITM (man-in-the-middle) attraverso cui – come si evince dal nome – possono intromettersi nella connessione e dirottarla verso i propri server. I due sviluppatori hanno sfruttato questa vulnerabilità e sostituito i video pubblicati dagli utenti TikTok con contenuti diversi tramite un attacco DNS su una rete locale. Per mostrare la portata della falla, hanno mostrato la sostituzione di video pubblicati da account del calibro dell’OMS, della Croce Rossa britannica ed americana con video contenenti fake news sul COVID-19.

Sottolineiamo che le intenzioni degli sviluppatori erano solo quelle di mostrare che tutto ciò è possibile, per cui i contenuti sono stati visti solamente dai pochi utenti collegati direttamente al loro server. Dunque, non è stata condivisa alcuna falsa informazione a nome delle organizzazioni “hackerate”. Tuttavia, tanto basta per rendere chiara la pericolosità di una simile vulnerabilità. Tutti i dettagli della scoperta di Mysk sono consultabili tramite questo link.

Acquistando un P40 Pro entro il 4 maggio si riceverà in omaggio lo smartwatch Huawei Watch GT 2. Smartphone disponibile a questo link.