Así pueden saber qué vídeos ves en TikTok (y cambiártelos por otros): la culpa es del protocolo HTTP

La privacidad de los usuarios de TikTok está en peligro. Esa es la denuncia realizada por Mysk Inc, una pequeña compañía de desarrollo de software cuyos empleados han descubierto una vulnerabilidad en la popular app de vídeos móvil que permitiría a un atacante no sólo saber qué vídeos consume un usuario, sino también manipular éstos.

La clave de este agujero de seguridad radicaría en el hecho de que TikTok, al igual que otras muchas apps sociales, utiliza un CDN (Content Delivery Networks) para transferir el contenido multimedia... pero éste hace uso del inseguro protocolo HTTP, cada vez menos usado ante el auge de su sucesor, el HTTPS.

Usar HTTP es un problema

El problema del tráfico HTTP es que es posible rastrearlo y alterarlo, como explican Tommy Mysk y Talal Haj Bakry, desarrolladores de Mysk Inc., "las aplicaciones que usan HTTP sin cifrar para la transferencia de datos no pueden garantizar que los datos que reciben no se monitorearon ni alteraron".

De hecho, monitorizar el tráfico de red sin cifrar es relativamente sencillo si usamos aplicaciones como Wireshark y, como demuestra el experimento realizado por Mysk y Bakry, puede revelar todo el historial de descargas de la aplicación.

Además, facilita la realización de un ataque 'man-in-the-middle' (también conocido como "ataque de intermediario"), que se basa en colocar un paso intermedio entre el servidor de TikTok y el usuario, permitiendo interceptar y manipular los datos que se entregan a este último.

En palabras de Mysk Inc, "cualquier enrutador situado entre los CDN y la app de TikTok" puede desvelar esa información, como "los operadores públicos de WiFI, los proveedores de Internet o de VPN, o las agencias de inteligencia".

El tráfico de un usuario de TikTok, desvelado por la herramienta WireShark (vía Mysk)

Así se da el 'cambiazo' a un vídeo

Pero el gran problema que denuncia la compañía es que esta clase de ataques permite sustituir un vídeo por otro, permitiendo atribuir contenido falso a una celebridad o a una cuenta en principio fiable, dando así pábulo a contenidos engañosos.

En su experimento, crearon un servidor que imitaba el comportamiento de los servidores CDN de TikTok y lo utilizaron para insertar vídeos engañosos sobre el coronavirus, consiguiendo que aparecieran atribuidos a cuentas como la Cruz Roja, la Organización Mundial de la Salud o el propio TikTok.

Vídeo manipulado, en la que la afirmación "Lavarse las manos demasiado a menudo causa cáncer de piel" aparece atribuido a la OMS. (Vía Mysk).

Con la técnica utilizada en su experimento, "sólo los usuarios conectados al router de mi casa podrían ver el contenido malicioso"... pero si alguien hackeara un servidor de DNS popular, podría redireccionar el tráfico a un servidor 'fake' de la misma forma, y llegar así a millones de usuarios.

¿Y ahora?

El experimento de Mysk no se llevó a cabo con la última versión de TikTok para Android (se usó la penúltima, la 15.7.4, aunque desconocen si la última actualización ha solucionado el problema). En cambio, sí se usó la última versión disponible para iOS (la 15.5.6).

Desde Genbeta nos hemos puesto en contacto con TikTok para conocer su versión de los hechos y qué medidas contemplan tomar. Cuando recibamos respuesta la incluiremos en el presente texto.

Ver todos los comentarios en https://www.genbeta.com

VER 11 Comentarios

Portada de Genbeta