O TikTok explodiu em popularidade nos últimos anos. Como vimos no Zoom, não importa quão popular seja uma plataforma, é provável que haja problemas de segurança. A última falha do TikTok apareceu online depois que dois desenvolvedores do iOS usaram um ataque DNS simples para induzir o aplicativo a se conectar ao seu servidor falso.
Desenvolvedores conseguem invadir o aplicativo TikTok com um ataque de DNS
Isso foi possível porque o TikTok usa HTTP em vez de HTTPS para obter conteúdo de mídia das redes de entrega de conteúdo (CDNs) da empresa. O uso do HTTP melhora o desempenho da transferência de dados, mas a falta de criptografia coloca os usuários em risco. Os desenvolvedores — conhecidos coletivamente como Mysk — foram capazes de alavancar isso para trocar vídeos publicados por usuários do TikTok por vídeos diferentes por meio de um ataque DNS em uma rede local.
Como visto no vídeo acima, o Mysk criou vídeos que compartilhavam informações falsas da COVID-19 em várias contas populares e verificadas na plataforma. Isso inclui a Organização Mundial da Saúde, a Cruz Vermelha Britânica e Americana e até a conta oficial do TikTok.
Felizmente, apenas usuários conectados diretamente ao servidor dos desenvolvedores foram afetados. Ninguém fora da rede viu esses vídeos falsos. Por outro lado, o Mysk não tinha intenção maliciosa e apenas destacou que o ataque é possível. Não seria muito difícil para um ator ruim usar esse método para atacar usuários em uma escala muito maior.
Esse não será o único problema a surgir se o TikTok não alterar sua criptografia. Existem muitas vulnerabilidades HTTP conhecidas e bem documentadas das quais a plataforma sofrerá se não mudar para HTTPS.