Falla in TikTok mette a rischio la privacy

La mancanza di crittografia mette a rischio la privacy degli utenti di TikTok. Video e immagini del profilo possono essere contraffatti.

TikTok è un social network popolare soprattutto fra i giovani. Serve per realizzare video con sincronizzazione labiale. Analogamente a Zoom ha dato priorità alla facilità d'uso piuttosto che alla sicurezza. Questo ha portato all'emergere di un problema di sicurezza non indifferente: consente di ricevere streaming video da server fasulli. O peggio di monitorare gli utenti.

Il problema è piuttosto grossolano: TikTok usa ancora il vecchio protocollo HTTP invece di quello HTTPS. In pratica i dati non cono crittografati. Non è una svista, è voluto perché così facendo i video TikTok si avviano e trasmettono più rapidamente in streaming. Si è trascurato il fatto che questa scelta consente di lo sniffing del traffico di rete. TikTok si affida a un Content Delivery Networks (CDN) per distribuire geograficamente i propri dati. Passando per il protocollo HTTP, basta un server DNS compromesso perché un aggressore possa monitorare o alterare i contenuti.

La vulnerabilità è stata scoperta dai ricercatori di Mysk.co, che hanno pubblicato la demo di un attacco e dimostrato l'entità del danno che si potrebbe causare tramite un exploit. Mostrano come un cyber criminale possa cambiare i video pubblicati dagli utenti di TikTok con altri fasulli.
traffico di rete http utilizzato da tiktokNon solo. Qualsiasi router posizionato tra l'app TikTok e le CDN di TikTok può facilmente elencare tutti i video scaricati e guardati da un utente, esponendo la cronologia di visualizzazione. Gli operatori Wi-Fi pubblici, i provider di servizi Internet e le agenzie di intelligence possono raccogliere questi dati senza troppi sforzi. Allo stesso modo si possono vedere le foto del profilo e catturare l'immagine di anteprima dei video in fase di download.

Non ultimo, un attacco man-in-the-middle può alterare il contenuto. Ad esempio, si possono scambiare le foto del profilo di un account con immagini contraffatte. Oppure l'attaccante può inserire informazioni false in un video associato a una celebrità o a un account fidato.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Antimalware nel 2020: parola d'ordine Intelligenza Artificiale

Sicurezza delle infrastrutture critiche nel 21mo secolo

Speciale

Coronavirus e sicurezza: proteggersi dal contagio digitale

Speciale

World Backup Day 2020: i consigli per tenere al sicuro i dati

Speciale

Soluzioni anti intrusione per la casa e l'ufficio

Calendario Tutto

Set 16
Come costruire un’azienda sicura? La guida definitiva nel cuore della ripartenza

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori