TikTok, nova falha de segurança: vídeos podem ser substituídos via ataque DNS

A popularidade tambĂ©m tem um lado sombrio. Ao atrair a atenção, podem ser descobertas importantes falhas de segurança que colocam em risco a privacidade dos usuĂĄrios. O Zoom e o TikTok sabem disso muito bem. O Ășltimo acabou novamente sob a lupa de dois desenvolvedores de iOS (Mysk) que mostraram como Ă© VocĂȘ pode substituir os vĂ­deos e imagens na plataforma por outro conteĂșdo simplesmente permitindo que o aplicativo se conecte a um servidor diferente.

Como isso Ă© possĂ­vel? O TikTok usa o padrĂŁo HTTP – Ă s custas do HTTPS mais seguro – estabelecer uma conexĂŁo com a rede de entrega de conteĂșdo (CDN) da empresa. O uso desse padrĂŁo melhora o desempenho da transferĂȘncia de dados, mas coloca em risco a segurança e a privacidade dos usuĂĄrios devido Ă  falta de criptografia. Aparentemente, o aplicativo transporta apenas algum conteĂșdo via HTTP: vĂ­deos, fotos de perfil e imagens em miniatura de vĂ­deo. Basicamente, todos os principais conteĂșdos nos quais o sucesso do aplicativo se baseia.

Tudo isso, portanto, permite que os invasores executem os chamados ataques MITM (homem no meio) atravĂ©s do qual – como o nome indica – eles podem invadir a conexĂŁo e desviĂĄ-la para seus servidores. Os dois desenvolvedores exploraram essa vulnerabilidade e substituĂ­ram os vĂ­deos postados pelos usuĂĄrios do TikTok por conteĂșdo diferente por meio de um ataque de DNS em uma rede local. Para mostrar a extensĂŁo da falha, eles mostraram a substituição de vĂ­deos publicados por contas do calibre da OMS, Cruz Vermelha BritĂąnica e Americana por vĂ­deos contendo notĂ­cias falsas no COVID-19.

Enfatizamos que as intençÔes dos desenvolvedores eram apenas mostrar que tudo isso Ă© possĂ­vel; portanto, o conteĂșdo foi visto apenas pelos poucos usuĂĄrios conectados diretamente ao servidor. Portanto, nenhuma informação falsa foi compartilhada em nome das organizaçÔes “hackeadas”. No entanto, Ă© o suficiente para deixar claro o perigo de tal vulnerabilidade. Todos os detalhes da descoberta do Mysk podem ser consultados neste link.