TikTok, app che ospita brevi filmati, particolarmente popolare tra gli adolescenti, è finita sotto la lente di ingrandimento dei due sviluppatori di Mysk.co che hanno individuato una pericolosa falla di sistema che consentirebbe addirittura a un malintenzionato di sostituire i video e le immagini presenti sulla piattaforma con altri contenuti, semplicemente “dirottando” l’applicazione su un server diverso.
TikTok infatti utilizza ancora lo standard di connessione HTTP anziché il più sicuro HTTPS, per stabilire una connessione con il Content Delivery Network (CDN) della società. L’uso di questo standard migliora le prestazioni di trasferimento dati, ma mette a rischio la sicurezza e la privacy degli utenti, trasportando senza crittografia tutti i principali contenuti veicolati dall’applicazione.
Tutto ciò permette dunque a eventuali malintenzionati di eseguire i cosiddetti attacchi MITM (man-in-the-middle) attraverso cui – come si evince dal nome – è possibile intromettersi nella connessione e dirottarla verso i propri server. I due sviluppatori hanno sfruttato questa vulnerabilità e sostituito i video pubblicati da account del calibro dell’OMS, della Croce Rossa britannica e statunitense tramite un attacco DNS, sostituendoli con video contenenti fake news sul COVID-19.
L’operazione è stata ovviamente svolta nella massima sicurezza ed esclusivamente a fini dimostrativi, con i video fake visibili per pochissimo tempo ed unicamente agli utenti connessi volontariamente al server “pirata”. L’operazione tuttavia è stata sufficiente a rendere chiara la pericolosità di una simile vulnerabilità, soprattutto tenendo presente l’età media degli utilizzatori di TikTok, che possono quindi essere particolarmente vulnerabili a fake news e altri contenuti pericolosi. Tutti i dettagli della scoperta di Mysk sono consultabili tramite questo link.
“TikTok, un colosso del social network con circa 800 milioni di utenti attivi mensili, deve aderire agli standard del settore in termini di privacy e protezione dei dati”, concludono i due sviluppatori nel proprio documento. In una dichiarazione fornita a Mashable, un portavoce di TikTok ha dichiarato: “TikTok dà la priorità alla sicurezza dei dati degli utenti e utilizza già HTTPS in diverse regioni. Stiamo comunque lavorando per introdurlo gradualmente in tutti i mercati in cui operiamo”.