O TikTok se tornou uma plataforma gigantesca para compartilhamento de vídeos curtos — e o serviço ainda cresce a passos largos: já são mais de 1,5 bilhão de downloads e 800 milhões de usuários ativos mensalmente.
Como diversos outros apps e serviços, entretanto, o TikTok não é imune aos problemas da web e, recentemente, os desenvolvedores Talal Haj Baktry e Tommy Mysk descobriram uma vulnerabilidade na plataforma que pode acometer basicamente qualquer usuário.
De acordo com uma análise de tráfego de rede realizada pela dupla, as versões mais recentes do TikTok ainda contam com HTTP (não criptografado) para conectar-se à rede de entrega de conteúdo (Content Delivery Network, ou CDN) da empresa.
Como essa conexão não é criptografada, ela pode ser invadida por um agente malicioso, o qual poderia, por exemplo, trocar qualquer vídeo já publicado na plataforma por um outro — mesmo os de usuários verificados, com centenas de milhares de acessos.
Segundo os desenvolvedores, o uso de HTTP em vez do HTTPS (mais seguro) abre a porta para ataques como o MITM1Man-in-the-middle.. Como prova de conceito, eles criaram um servidor falso que imita o CDN do TikTok; em seguida, usaram a técnica do MITM para “enganar” a plataforma (fazendo com que o servidor falso se portasse como legítimo) e, a partir daí, foi bem simples trocar os vídeos no app.
No vídeo acima, eles mostram como substituíram os vídeos oficiais da Cruz Vermelha e da Organização Mundial de Saúde (OMS) por outros repletos de informações errôneas sobre a pandemia do Coronavírus (COVID-19).
Interceptamos com êxito o tráfego do TikTok e enganamos o aplicativo para mostrar nossos próprios vídeos como se fossem publicados por contas populares e verificadas. Isso é uma ferramenta perfeita para quem tenta incansavelmente poluir a internet com fatos enganosos.
Os hackers afirmam que esse tipo de ataque requer acesso às configurações de um roteador, o que significa que é mais provável que ele seja explorado por provedoras de internet. Não obstante, o fato de o TikTok usar HTTP também significa que ele pode ser explorado por pontos de acesso não-autorizados, serviços de VPN2Virtual private network, ou rede privada virtual. e agências de inteligência.
Essa não é a primeira vez que o TikTok vira notícia por problemas de privacidade/segurança: no mês passado, comentamos alguns apps que estavam visualizando o que um usuário copiava na área de transferência do iOS/iPadOS.
Vamos torcer para que o TikTok tome providências o quanto antes.
via Mashable
Notas de rodapé
- 1Man-in-the-middle.
- 2Virtual private network, ou rede privada virtual.