Luka w TikToku pozwala podrzucać fałszywe materiały o koronawirusie

Według specjalistów z branży cyberbezpieczeństwa, którzy odkryli podatność platformy do publikacji krótkich form wideo, atak może być skuteczny w stosunku do wszystkich użytkowników TikToka.

Użycie niezabezpieczonego połączenia internetowego do transferu wideo i zdjęć profilowych użytkowników umożliwia atakującym wtargnięcie w ruch pomiędzy aplikacją a CDN i wstrzyknięcie fałszywych treści na profil ofiary poprzez przekierowanie ruchu na kontrolowane przez hakerów serwery - tak, aby nagrania sprawiały wrażenie, że zostały opublikowane przez konkretną osobę.

Sposób działania cyberprzestępców opiera się na wykorzystaniu mechanizmu Content Delivery Network (CDN), na którym bazuje TikTok celem usprawniania przesyłu danych na platformie. CDN działa jednak z użyciem niezabezpieczonego połączenia internetowego (http), które nie jest szyfrowane (w przeciwieństwie do https). Według ekspertów każde urządzenie, które pojawi się na drodze pomiędzy TikTokiem a mechanizmem obsługi CDN, może posłużyć do podejrzenia historii oglądanych przez użytkowników platformy filmików. Dane te mogą być również z łatwością gromadzone przez operatorów połączeń internetowych i agencje wywiadowcze.

Aby zademonstrować model ataku, badacze przeprowadzili próbę polegającą na wstrzyknięciu fałszywego filmu o koronawirusie na konta Światowej Organizacji Zdrowia i Międzynarodowego Czerwonego Krzyża. Według specjalistów atak jest szczególnie łatwy do przeprowadzenia w sytuacji, kiedy cyberprzestępcy dysponują bezpośrednim dostępem do routerów, z którymi łączą się użytkownicy TikToka.

Jak podkreślili eksperci cytowani przez Mashable, należąca do chińskiej spółki ByteDance platforma TikTok to jedyna z popularnych aplikacji społecznościowych, która przesyła dane z użyciem niezabezpieczonego połączenia http. Amerykańskie usługi Facebook, Instagram, YouTube, Twitter i Snapchat korzystają z szyfrowanego https, co bardzo utrudnia przeprowadzenie tego rodzaju ataków.