in

Desenvolvedores conseguem invadir o aplicativo TikTok com um ataque de DNS

O uso do HTTP melhora o desempenho da transferência de dados, mas a falta de criptografia coloca os usuários em risco.

TikTok removeu centenas de milhares de vídeos por incitação ao ódio
Imagem: Divulgação.

O TikTok explodiu em popularidade nos últimos anos. Como vimos no Zoom, não importa quão popular seja uma plataforma, é provável que haja problemas de segurança. A última falha do TikTok apareceu online depois que dois desenvolvedores do iOS usaram um ataque DNS simples para induzir o aplicativo a se conectar ao seu servidor falso.

Desenvolvedores conseguem invadir o aplicativo TikTok com um ataque de DNS

Isso foi possível porque o TikTok usa HTTP em vez de HTTPS para obter conteúdo de mídia das redes de entrega de conteúdo (CDNs) da empresa. O uso do HTTP melhora o desempenho da transferência de dados, mas a falta de criptografia coloca os usuários em risco. Os desenvolvedores — conhecidos coletivamente como Mysk — foram capazes de alavancar isso para trocar vídeos publicados por usuários do TikTok por vídeos diferentes por meio de um ataque DNS em uma rede local.

Como visto no vídeo acima, o Mysk criou vídeos que compartilhavam informações falsas da COVID-19 em várias contas populares e verificadas na plataforma. Isso inclui a Organização Mundial da Saúde, a Cruz Vermelha Britânica e Americana e até a conta oficial do TikTok.

Felizmente, apenas usuários conectados diretamente ao servidor dos desenvolvedores foram afetados. Ninguém fora da rede viu esses vídeos falsos. Por outro lado, o Mysk não tinha intenção maliciosa e apenas destacou que o ataque é possível. Não seria muito difícil para um ator ruim usar esse método para atacar usuários em uma escala muito maior.

Desenvolvedores conseguem invadir o aplicativo TikTok com um ataque de DNS
O TikTok explodiu em popularidade nos últimos anos. Imagem: Reprodução | Fossbytes.

Esse não será o único problema a surgir se o TikTok não alterar sua criptografia. Existem muitas vulnerabilidades HTTP conhecidas e bem documentadas das quais a plataforma sofrerá se não mudar para HTTPS.

Fonte: Android Authority

Leia mais:

YouTube prepara lembretes para a hora de dormir e “vídeos curtos” do tipo TikTok

Segundo o CEO do Reddit, você não deveria instalar o TikTok no seu telefone pois ele é um spyware