Σύμφωνα με τους προγραμματιστές Tommy Mysk και Talal Haj Bakry, μια ευπάθεια που ανακάλυψαν στο δημοφιλές μέσω κοινωνικής δικτύωσης TikTok, θα μπορούσε να επιτρέψει σε hacker να αντικαταστήσουν βίντεο των χρηστών με ψεύτικα.
Οι δύο προγραμματιστές, δημοσίευσαν τα ευρήματά τους σε ένα blog post, δηλώνοντας ότι ορισμένες πρακτικές της πλατφόρμας, που δεν είναι ασφαλείς, έχουν δημιουργήσει ένα κενό ασφαλείας το οποίο μπορεί να εκμεταλλευτεί από κακόβουλους παράγοντες.
Όπως και άλλες εφαρμογές κοινωνικών μέσων, το TikTok χρησιμοποιεί ένα CDN (Content Delivery Network) για γρήγορη μεταφορά τεράστιων ποσοτήτων βίντεο και άλλων δεδομένων μέσω του Διαδικτύου. Ωστόσο, στην περίπτωση του TikTok, το CDN χρησιμοποιεί μία λιγότερο ασφαλή σύνδεση HTTP για τη βελτίωση της απόδοσης.
Είναι γνωστό ότι είτε κάποιος εισβολέας, είτε μία κυβέρνηση είτε ένα ISP, θα μπορούσε εύκολα να αποκρυπτογραφήσει την κυκλοφορία HTTP. Με τον τρόπο αυτό ένας κακόβουλος παράγοντας θα μπορούσε να αποκτήσει πρόσβαση στα βίντεο ενός χρήστη του TikTok, καθώς επίσης και στο ιστορικό παρακολούθησης και τα βίντεο που κατεβάζει.
Ο επιτιθέμενος θα μπορούσε ακόμα και να αντικαταστήσει αυτά τα βίντεο με ψεύτικα ή με βίντεο από όλους λογαριασμούς.
Για να αποδείξουν τους ισχυρισμούς τους, οι Mysk και Bakry δημιούργησαν οι ίδιοι ένα proof-of-concept όπου ανέβασαν ένα βίντεο παραπληροφόρησης σχετικά με τον κορωνοϊό, στον επίσημο λογαριασμό TikTok του Παγκόσμιου Οργανισμού Υγείας (ΠΟΥ).
Οι προγραμματιστές ξεγέλασαν την εφαρμογή TikTok, από μια συσκευή που ήταν συνδεδεμένη στο οικιακό τους δίκτυο WiFi, ώστε να στείλουν αιτήματα σε έναν προσαρμοσμένο server τους, που σχεδιάστηκε για να μιμείται τα CDN του TikTok.
Παίρνοντας λοιπόν τον έλεγχο του server που υπάρχει μεταξύ της εφαρμογής TikTok και των CDN της, οι προγραμματιστές μπορούν να προβάλλουν και να εισάγουν ό, τι θέλουν, αλλάζοντας απλά τις πληροφορίες εγγραφής DNS στον server, κάνοντας την εφαρμογή να ανακατευθύνεται στον ψεύτικο server κάθε φορά.
Ωστόσο, αυτό δεν σημαίνει ότι δεν θα μπορούσε να προκληθεί ζημιά. “Εάν ένας δημοφιλής DNS server είχε παραβιαστεί για να συμπεριλάβει ένα κακόβουλο βίντεο, όπως δείξαμε νωρίτερα, παραπλανητικές πληροφορίες, ψεύτικες ειδήσεις ή καταχρηστικά βίντεο θα προβάλλονταν σε μεγάλη κλίμακα και αυτό είναι κάτι που θα μπορούσε να γίνει”, εξήγησαν οι προγραμματιστές στην ανάρτησή τους.
Το κοινωνικό δίκτυο έχει ήδη στραμμένη την προσοχή των αρχών πάνω του, κυρίως λόγω του ότι η έδρα του είναι στην Κίνα και υπάρχουν υπόνοιες ότι μπορεί να συλλέγει προσωπικά δεδομένα των χρηστών.
