TikTok ha explotado en popularidad en los últimos años. Como vimos con Zoom, no importa cuán popular sea una plataforma, seguramente habrá problemas de seguridad. La última falla de TikTok apareció en línea después de que dos desarrolladores de iOS usaron un simple truco para solicitar a la aplicación que se conecte a su falso servidor.
Esto fue posible porque TikTok usa HTTP en lugar de HTTPS para extraer contenido multimedia de las redes de distribución de contenido (CDN) de la compañía. El uso de HTTP mejora el rendimiento de la transferencia de datos, pero la falta de cifrado pone en riesgo a los usuarios. Los desarrolladores, conocidos colectivamente como Mysk, pudieron aprovecharlo para cambiar los videos publicados por los usuarios de TikTok con diferentes videos a través de un ataque DNS en una red local.
Como se ve en el video anterior, Mysk creó videos que compartían información falsa de COVID-19 en varias cuentas populares y verificadas en la plataforma. Esto incluye la Organización Mundial de la Salud, la Cruz Roja Británica y Americana, e incluso la cuenta oficial de TikTok.
Lea también: Los fabricantes de TikTok prueban en secreto la aplicación de transmisión de música de $ 1.70 / mes
Afortunadamente, solo los usuarios conectados directamente al servidor del desarrollador se han visto afectados. Nadie fuera de la red ha visto estos videos falsos. Por otro lado, Mysk no tenía intenciones maliciosas y solo enfatizó que el ataque era posible. No sería demasiado difícil para un mal actor utilizar este método para atacar a los usuarios a una escala mucho mayor.
Este no será el único problema que surgirá si TikTok no cambia su cifrado. Hay muchas vulnerabilidades HTTP conocidas y bien documentadas que sufrirá la plataforma si no supera HTTPS.
En el momento de la publicación, el problema afecta la versión 15.7.4 de la aplicación de Android y la versión 15.5.6 de la aplicación de iOS. Puede leer más detalles sobre cómo Mysk hackeó TikTok en su sitio web.
