O melhor pedaço da Maçã.

Vulnerabilidade no TikTok permite falsificar e trocar vídeos de qualquer conta

Unsplash
TikTok

O TikTok se tornou uma plataforma gigantesca para compartilhamento de vídeos curtos — e o serviço ainda cresce a passos largos: já são mais de 1,5 bilhão de downloads e 800 milhões de usuários ativos mensalmente.

Publicidade

Como diversos outros apps e serviços, entretanto, o TikTok não é imune aos problemas da web e, recentemente, os desenvolvedores Talal Haj Baktry e Tommy Mysk descobriram uma vulnerabilidade na plataforma que pode acometer basicamente qualquer usuário.

De acordo com uma análise de tráfego de rede realizada pela dupla, as versões mais recentes do TikTok ainda contam com HTTP (não criptografado) para conectar-se à rede de entrega de conteúdo (Content Delivery Network, ou CDN) da empresa.

Como essa conexão não é criptografada, ela pode ser invadida por um agente malicioso, o qual poderia, por exemplo, trocar qualquer vídeo já publicado na plataforma por um outro — mesmo os de usuários verificados, com centenas de milhares de acessos.

Segundo os desenvolvedores, o uso de HTTP em vez do HTTPS (mais seguro) abre a porta para ataques como o MITM1Man-in-the-middle.. Como prova de conceito, eles criaram um servidor falso que imita o CDN do TikTok; em seguida, usaram a técnica do MITM para “enganar” a plataforma (fazendo com que o servidor falso se portasse como legítimo) e, a partir daí, foi bem simples trocar os vídeos no app.

YouTube video

No vídeo acima, eles mostram como substituíram os vídeos oficiais da Cruz Vermelha e da Organização Mundial de Saúde (OMS) por outros repletos de informações errôneas sobre a pandemia do Coronavírus (COVID-19).

Interceptamos com êxito o tráfego do TikTok e enganamos o aplicativo para mostrar nossos próprios vídeos como se fossem publicados por contas populares e verificadas. Isso é uma ferramenta perfeita para quem tenta incansavelmente poluir a internet com fatos enganosos.

Os hackers afirmam que esse tipo de ataque requer acesso às configurações de um roteador, o que significa que é mais provável que ele seja explorado por provedoras de internet. Não obstante, o fato de o TikTok usar HTTP também significa que ele pode ser explorado por pontos de acesso não-autorizados, serviços de VPN2Virtual private network, ou rede privada virtual. e agências de inteligência.

Essa não é a primeira vez que o TikTok vira notícia por problemas de privacidade/segurança: no mês passado, comentamos alguns apps que estavam visualizando o que um usuário copiava na área de transferência do iOS/iPadOS.


Ícone do app TikTok
TikTok de TikTok Ltd.
Compatível com iPadsCompatível com iPhones Compatível com o Apple Vision Pro Compatível com o iMessage
Versão 33.9.1 (405.3 MB)
Requer o iOS 12.0 ou superior
GrátisBadge - Baixar na App Store Código QR Código QR

Vamos torcer para que o TikTok tome providências o quanto antes.

via Mashable

Notas de rodapé

  • 1
    Man-in-the-middle.
  • 2
    Virtual private network, ou rede privada virtual.

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

MacBook Air/Pro, Mac mini, iMac, iPad Pro… o que comprar com R$12 mil?

Próx. Post

IGTV ganha nova interface com foco em criadores; Netflix, Pinterest e GoPro são atualizados

Posts Relacionados