Imagínese esto: se está desplazando por su feed de TikTok un día y, de repente, nota un video que no subió publicado en su cuenta.
Es muy posible, ya que un equipo de desarrolladores de software descubrió una vulnerabilidad en la plataforma de video social viral que permite a un atacante intercambiar videos en cualquier cuenta de TikTok.
Utilizando la vulnerabilidad que descubrieron, el dúo subió un video que compartía información errónea sobre el coronavirus y lo inyectó en la cuenta TikTok de la Organización Mundial de la Salud para que pareciera uno de los videos de la organización. El equipo logró utilizar el mismo proceso para mostrar cargas fraudulentas en otras cuentas verificadas de TikTok, como la Cruz Roja y el perfil oficial de la plataforma de video.
Para hacer esto, el dúo necesitaba engañar a la aplicación TikTok para dirigirla a un servidor falso que habían configurado y que imitaban los servidores CDN de TikTok.
"Esto lo pueden lograr los actores que tienen acceso directo a los enrutadores a los que están conectados los usuarios", explican en su publicación.
El resultado significa ver los cambios realizados por Mysk y Bakry con la aplicación TikTok, un usuario necesitaría estar conectado a su enrutador doméstico. Para ser claros, el intercambio de video no se produce en los servidores de TikTok. Pero eso no significa que un actor malicioso no pueda usar este método para causar un daño real.
"Si un servidor DNS popular fue pirateado para incluir un registro DNS corrupto ... la información engañosa, noticias falsas o videos abusivos se verían a gran escala", explicaron los desarrolladores. "Esto no es completamente imposible".
El desarrollador Tommy Mysk confirmó a Mashable que la elección de transferir datos a través de HTTP sobre HTTPS distingue a TikTok de la mayoría de sus competidores de alto perfil.
"Acabo de probarlos todos: Facebook, Instagram, YouTube, Twitter, Snapchat", dijo Mysk en un mensaje a Mashable. “Tienen rastros HTTP CERO. Transfieren todos sus datos utilizando HTTPS ".
A principios de este año, la firma de ciberseguridad Check Point descubrieron una serie de fallas de seguridad en la aplicación TikTok, incluida una que permitía a los hackers tomar el control de la cuenta de un usuario. La plataforma de video viral se movió para solucionarlos. Poco después, el equipo de Mysk y Bakry.descubierto otro problema de seguridad de TikTok que permitió a la aplicación espiar el historial del portapapeles de su iPhone.
TikTok siempre ha tenido que demostrar ser una plataforma segura para sus usuarios debido a su conexióna su empresa matriz con sede en China, Bytedance. Algunos trabajadores del gobierno de los Estados Unidos incluso se le sha prohibido usar la aplicación. Este último problema de seguridad seguramente no es una buena noticia para la compañía.
https://mashable.com/article/tiktok-vulnerability-coronavirus-video-swap/
Es muy posible, ya que un equipo de desarrolladores de software descubrió una vulnerabilidad en la plataforma de video social viral que permite a un atacante intercambiar videos en cualquier cuenta de TikTok.
Utilizando la vulnerabilidad que descubrieron, el dúo subió un video que compartía información errónea sobre el coronavirus y lo inyectó en la cuenta TikTok de la Organización Mundial de la Salud para que pareciera uno de los videos de la organización. El equipo logró utilizar el mismo proceso para mostrar cargas fraudulentas en otras cuentas verificadas de TikTok, como la Cruz Roja y el perfil oficial de la plataforma de video.
Para hacer esto, el dúo necesitaba engañar a la aplicación TikTok para dirigirla a un servidor falso que habían configurado y que imitaban los servidores CDN de TikTok.
"Esto lo pueden lograr los actores que tienen acceso directo a los enrutadores a los que están conectados los usuarios", explican en su publicación.
El resultado significa ver los cambios realizados por Mysk y Bakry con la aplicación TikTok, un usuario necesitaría estar conectado a su enrutador doméstico. Para ser claros, el intercambio de video no se produce en los servidores de TikTok. Pero eso no significa que un actor malicioso no pueda usar este método para causar un daño real.
"Si un servidor DNS popular fue pirateado para incluir un registro DNS corrupto ... la información engañosa, noticias falsas o videos abusivos se verían a gran escala", explicaron los desarrolladores. "Esto no es completamente imposible".
El desarrollador Tommy Mysk confirmó a Mashable que la elección de transferir datos a través de HTTP sobre HTTPS distingue a TikTok de la mayoría de sus competidores de alto perfil.
"Acabo de probarlos todos: Facebook, Instagram, YouTube, Twitter, Snapchat", dijo Mysk en un mensaje a Mashable. “Tienen rastros HTTP CERO. Transfieren todos sus datos utilizando HTTPS ".
A principios de este año, la firma de ciberseguridad Check Point descubrieron una serie de fallas de seguridad en la aplicación TikTok, incluida una que permitía a los hackers tomar el control de la cuenta de un usuario. La plataforma de video viral se movió para solucionarlos. Poco después, el equipo de Mysk y Bakry.descubierto otro problema de seguridad de TikTok que permitió a la aplicación espiar el historial del portapapeles de su iPhone.
TikTok siempre ha tenido que demostrar ser una plataforma segura para sus usuarios debido a su conexióna su empresa matriz con sede en China, Bytedance. Algunos trabajadores del gobierno de los Estados Unidos incluso se le sha prohibido usar la aplicación. Este último problema de seguridad seguramente no es una buena noticia para la compañía.
https://mashable.com/article/tiktok-vulnerability-coronavirus-video-swap/
