TikTok, nova falha de segurança: os vídeos podem ser substituídos por meio de ataque DNS

Quem sou
Pau Monfort
@paumonfort
Autor e referências

A popularidade também tem um lado negro. Ao atrair a atenção, podem ser descobertas grandes falhas de segurança que colocam em risco a privacidade dos usuários. Zoom e TikTok sabem disso muito bem. Este último está novamente sob a lupa de dois desenvolvedores iOS (Mysk) que mostraram como é É possível substituir os vídeos e imagens da plataforma por outros conteúdos simplesmente permitindo que o aplicativo se conecte a um servidor diferente.

Como isso é possível? TikTok usa o padrão HTTP - às custas do HTTPS mais seguro - que estabelece uma conexão com a rede de distribuição de conteúdo (CDN) da empresa. O uso desse padrão melhora o desempenho da transferência de dados, mas coloca a segurança e a privacidade dos usuários em risco devido à falta de criptografia. Aparentemente, o aplicativo transporta apenas parte do conteúdo via HTTP: vídeos, fotos de perfil e imagens em miniatura de vídeo. Praticamente todos os conteúdos principais em que se baseia o sucesso da aplicação.



Tudo isso, portanto, permite que os invasores realizem os chamados ataques MITM (man-in-the-middle) através dos quais - como o nome sugere - eles podem intrometa-se na conexão e redirecione-o para seus próprios servidores. Os dois desenvolvedores exploraram essa vulnerabilidade e substituíram os vídeos postados por usuários do TikTok por conteúdo diferente por meio de um ataque DNS em uma rede local. Para mostrar a extensão da falha, eles mostraram a substituição de vídeos postados por entidades como a OMS, a Cruz Vermelha Britânica e Americana por vídeos contendo notícias falsas sobre o COVID-19.

Ressaltamos que a intenção dos desenvolvedores era apenas mostrar que tudo isso é possível, de forma que os conteúdos eram vistos apenas por poucos usuários conectados diretamente ao seu servidor. Portanto, nenhuma informação falsa foi compartilhada em nome das organizações "hackeadas". No entanto, isso é o suficiente para deixar claro o perigo de tal vulnerabilidade. Todos os detalhes da descoberta de Mysk estão disponíveis.



Ao adquirir um P40 Pro até 4 de maio, você o receberá o smartwatch Huawei Watch GT 2 de presente. Smartphone disponível em. 


Adicione um comentário do TikTok, nova falha de segurança: os vídeos podem ser substituídos por meio de ataque DNS
Comentário enviado com sucesso! Vamos analisá-lo nas próximas horas.