Di Pierguido Iezzi

TikTok, la popolare piattaforma mobile di condivisione video con sede in Cina, di proprietà di ByteDance, con sede a Pechino, sta diventando rapidamente leader indiscusso del suo settore di mercato con oltre 1,3 miliardi di utenti in tutto il mondo.

Ma come tutti i social media non potevano che accumularsi ombre e preoccupazioni sulla sua tenuta dal punto di vista della Cyber Security.

Specialmente in questo periodo, anche con l’accresciuta consapevolezza di molti di noi davanti a disinformazione, la necessità di rivolgersi a fonti ufficiali per una consulenza online è fondamentale.

Il rischio che i Criminal hacker possano essere in grado di scambiare tali notizie ufficiali con campagne di disinformazione è quindi molto serio.

É proprio qui che si inserisce l’ultima vulnerabilità recentemente trovata sull’applicazione TikTok.

Stando a quanto riportato da due ricercatori statunitensi, questa è in grado di permettere agli aggressori di iniettare qualsiasi video nei feed degli utenti, come se non bastasse, il bug colpisce anche gli utenti verificati.

Lo scenario è semplice, ma le ricadute potrebbero essere molto gravi; gli aggressori potrebbero sfruttare questa vulnerabilità per rendere popolari i loro video.

La Vulnerabilità in dettaglio

L’applicazione TikTok utilizza un protocollo HTTP insicuro per elaborare il trasferimento dei dati, secondo l’analisi dei ricercatori Talal Haj Bakry e Tommy Mysk i video e le immagini trasferite attraverso questo processo non sono criptate.

Un aggressore, potenzialmente, inserendosi tra l’applicazione TikTok e i Content Delivery Network della stessa può facilmente elencare tutti i video che un utente ha scaricato e guardato, scoprendone l’intera cronologia.

Fatto questo potrebbe lanciare un classico attacco man-in-the-middle (un attacco informatico in cui qualcuno segretamente ritrasmette o altera la comunicazione tra due parti che credono di comunicare direttamente tra di loro) per scaricare il contenuto dell’utente e modificarlo con l’obiettivo di fornire i informazioni o dati falsi in un video spam che va a sostituire il video originale pubblicato.

La vulnerabilità può essere sfruttata da un aggressore per diffondere informazioni fuorvianti e per cercare d’influenzare l’opinione pubblica.

Nel loro attacco proof-of-concept i ricercatori hanno allestito un falso server CDN “v34[.]muscdn[.]com” e hanno dirottato con successo la loro app TikTok al falso server.

Il server creato ad-hoc dai ricercatori, quindi, sceglie un video contraffatto e lo restituisce all’app che, a sua volta, lo riproduce all’utente senza che questo possa avere il minimo dubbio sulla sua legittimità.

TikTok per iOS (versione 15.5.6) e TikTok per Android (versione 15.7.4) utilizzano ancora la connessione non criptata per il collegamento con TikTok CDN.

Per lanciare questo attacco i Criminal Hacker devono avere accesso al router utilizzato per accedere a Internet e a TikTok. Avendo l’accesso possono reindirizzare e manipolare i video.

Questa circolazione di video ingannevoli e falsificati in una piattaforma popolare come TikTok comporta rischi enormi. L’impatto potrebbe essere catastrofico, soprattutto nel caso in cui i fornitori di VPN e gli Internet Server Provider configurassero i propri server con il server DNS corrotto e aprissero la porta ai Criminal Hacker.