TikTok no usa conexiones seguras para transferir archivos
Un grupo de desarrolladores descubrieron recientemente que la popular plataforma social TikTok no usa conexiones seguras para la transferencia de archivos. Esto sin duda representa un gran riesgo de seguridad ya que permite a atacantes remotos, cambiar fácilmente archivos originales por falsos.
Los desarrolladores Tommy Mysk y Talal Haj Bakry aseguraron de que la app TikTok usa un CDN (Content Delivery Networks) para distribuir a nivel mundial la gran cantidad de datos que maneja. Sin embargo, la plataforma social usa una conexión HTTP para transferir todos los archivos multimedia de sus usuarios. Esto en teoría mejoraría el rendimiento en la transferencia de datos pero implica un enorme riesgo de seguridad para sus usuarios ya que cualquier actor malintencionado puede rastrear y modificar fácilmente los archivos de los usuarios, incluyendo a aquellas personas con cuentas verificadas.
Si bien desde hace algún tiempo tanto Apple como Google han puesto como requerimiento que las Apps usen conexiones seguras HTTPS, aún permiten a los desarrolladores que algunas aplicaciones usen HTTP por razones de compatibilidad hacia atrás. Al día de hoy casi todas las apps disponibles tanto para iOS como Android usan conexiones cifradas HTTPS, pero este no es el caso de TikTok ya que en sus últimas versiones (15.5.6 en iOS y 15.7.4 en Android) aún continúa usando HTTP para conectarse a su CDN.
De acuerdo con los desarrolladores Mysk y Bakry, el caso es bastante serio ya que según, con cualquier enrutador usado entre la app TikTok y su CDN, es posible listar todos los vídeos que el usuario ha descargado y visto. Esto significa que cualquier proveedor de servicio de internet y/o agencia gubernamental de inteligencia puede fácilmente recolectar toda la data de los usuarios.
Es importante recordar que este tipo de ataque es conocido como «Middle Man» el cuál como se indicó anteriormente, permite que cualquier actor malintencionado no solo pueda acceder a los archivos del usuario, sino que también, lo puede modificar. Por otra parte, los competidores de TikTok como YouTube, Facebook, Instagram, Twitter y otros, usan conexiones cifradas para las transferencias de datos.
Mysk y Bakry instaron a los desarrolladores de TikTok a que se adapten a los estándares de la industria tecnológica en cuanto a la protección de la privacidad de sus usuarios. Se estima que esta plataforma social desarrollada en China cuenta actualmente con unos 800 millones de usuarios a nivel mundial.
Vía: FossBytes