Seguridad

Un fallo en TikTok permite inyectar vídeos falsos en tu cuenta

Un fallo en TikTok permite inyectar vídeos falsos de coronavirus en tu cuenta

Un equipo de desarrolladores de software ha descubierto una vulnerabilidad en TikTok que permite a los ciberatacantes intercambiar videos falsos en cualquier cuenta de la plataforma de video social viral.

Descubren una vulnerabilidad en la aplicación TikTok que permite inyectar vídeos falsos en el feed.  En una publicación que comparte sus hallazgos, los desarrolladores Tommy Mysk y Talal Haj Bakry explican que TikTok usa Content Delivery Networks, o CDN, para transferir sus datos de manera más efectiva en todo el mundo. Para mejorar el rendimiento, estos CDN transfieren los datos a través de HTTP.

Este problema obedece a la elección de HTTP sin cifrar sobre el HTTPS más seguro, poniendo en riesgo la privacidad de los usuarios. “Cualquier enrutador entre la aplicación TikTok y los CDN de TikTok puede enumerar fácilmente todos los videos que un usuario ha descargado y visto, exponiendo su historial de reproducción“, revelan los desarrolladores Mysk y Bakry. “Los operadores públicos de Wifi, los proveedores de servicios de Internet y las agencias de inteligencia pueden recopilar estos datos sin mucho esfuerzo”.

Fuente | Mashable

 

Aunque tecnológicas como Apple y Google se han movido para exigir que las aplicaciones usen HTTPS cifradas, hay algunas excepciones para los desarrolladores que eligen usar HTTP. Debido a que TikTok transfiere datos como videos y fotos de perfil a través de HTTP, la aplicación tan popular entre el segmento más joven de la población, hace a los usuarios susceptible a ataques de intermediarios. Los ciberatacantes podrían alterar el contenido en la transmisión e intercambiar un video real en una cuenta con uno falso de su elección.

Los desarrolladores proporcionaron un ejemplo para mostrar cuán problemático puede ser este problema al infligir un ataque de DNS en una red local. Para ello, colgaron un video que compartía información errónea sobre el coronavirus y lo inyectaron en la cuenta TikTok de la Organización Mundial de la Salud para que pareciera uno de los videos de la organización. El equipo logró utilizar el mismo proceso para mostrar cargas fraudulentas en otras cuentas verificadas de TikTok, como la Cruz Roja y el perfil oficial de la propia plataforma de vídeo.

Así es Netwalker, el ransomware que planea sobre los hospitales españoles

¿Cómo lo lograron? Engañando a la app para dirigirla a un servidor falso que habían configurado y que imitaban los servidores CDN de TikTok. Para verlos, los usuarios precisan estar conectados a un enrutador doméstico. “Si un servidor DNS popular fue pirateado para incluir un registro DNS corrupto … la información engañosa, noticias falsas o videos abusivos se verían a gran escala”, explicaron los desarrolladores. “Esto no es completamente imposible”.

“Acabo de probarlos todos: Facebook, Instagram, YouTube, Twitter, Snapchat”, dijo Mysk en un mensaje a Mashable. “Tienen rastros HTTP CERO. Transfieren todos sus datos utilizando HTTPS”. De esta manera, la app es la única entre sus competidores de alto perfil que emplea este tipo de protocolo, en lugar de apostar por el cifrado seguro.

A principios de este año, la firma de seguridad cibernética Check Point descubrió una serie de fallas de seguridad en la aplicación TikTok, incluida una que permitía a los piratas informáticos tomar el control de la cuenta de un usuario. Desde la aplicación lo arreglaron, aunque poco después los desarrolladores descubrieron otro problema de seguridad de TikTok que permitió a la aplicación espiar el historial del portapapeles de su iPhone.

Fuente | Mashable

Te recomendamos

Sobre el autor

Andrea Núñez-Torrón Stock

Licenciada en Periodismo y creadora de la revista Literaturbia. Entusiasta del cine, la tecnología, el arte y la literatura.