La popularidad también tiene un lado oscuro. Al llamar la atención, se pueden descubrir importantes lagunas de seguridad que ponen en riesgo la privacidad de los usuarios. Zoom y TikTok lo saben bien. Este último ha vuelto a estar bajo la lupa de dos desarrolladores de iOS (Mysk) que han mostrado cómo es Es posible reemplazar los videos e imágenes en la plataforma con otro contenido simplemente permitiendo que la aplicación se conecte a un servidor diferente.
¿Como es posible? TikTok usa el estándar HTTP - a expensas del HTTPS más seguro - que establece una conexión con la red de entrega de contenido (CDN) de la empresa. El uso de este estándar mejora el rendimiento de la transferencia de datos, pero pone en riesgo la seguridad y la privacidad de los usuarios debido a la falta de cifrado. Aparentemente, la aplicación solo transporta algunos contenidos a través de HTTP: videos, fotos de perfil e imágenes en miniatura de video. Prácticamente todos los contenidos principales en los que se basa el éxito de la aplicación.
Por lo tanto, todo esto permite a los atacantes llevar a cabo los llamados ataques MITM (man-in-the-middle) a través de los cuales, como su nombre indica, pueden inmiscuirse en la conexión y redirigirla a sus propios servidores. Los dos desarrolladores aprovecharon esta vulnerabilidad y reemplazaron los videos publicados por los usuarios de TikTok con contenido diferente a través de un ataque de DNS en una red local. Para mostrar el alcance de la falla, mostraron el reemplazo de videos publicados por personas como la OMS, la Cruz Roja británica y estadounidense con videos que contienen noticias falsas sobre COVID-19.
Destacamos que las intenciones de los desarrolladores eran solo mostrar que todo esto es posible, por lo que los contenidos solo fueron vistos por los pocos usuarios conectados directamente a su servidor. Por lo tanto, no se compartió información falsa en nombre de las organizaciones "pirateadas". Sin embargo, eso es suficiente para dejar en claro el peligro de tal vulnerabilidad. Todos los detalles del descubrimiento de Mysk están disponibles.
Al comprar un P40 Pro antes del 4 de mayo, lo recibirá el reloj inteligente Huawei Watch GT 2 de regalo. Smartphone disponible en.
