Home Android TikTok: un enorme difetto consente agli hacker di pubblicare video sul tuo...

TikTok: un enorme difetto consente agli hacker di pubblicare video sul tuo account

- Advertisement -

Immagina uno scenario in cui stai sfogliando i tuoi video pubblicati su TikTok e improvvisamente noti che i contenuti che non hai pubblicato online vengono trasmessi dal tuo account. Ciò è del tutto possibile, come dimostrano due ricercatori: Tommy Mysk e Talal Haj Bakry. Hanno appena pubblicato un rapporto che mostra che è possibile per un hacker sostituire i video su qualsiasi account TikTok .

Come tutti i social network e le applicazioni di messaggistica, TikTok si affida alle reti di distribuzione dei contenuti (CDN) per distribuire geograficamente i contenuti pubblicati sulla sua piattaforma. A differenza della maggior parte dei suoi concorrenti, TikTok ha scelto di trasmettere video tramite il protocollo HTTP non garantito.

In tal modo, l’applicazione, che ha oltre un miliardo di utenti in tutto il mondo, migliora le prestazioni di trasferimento dei dati dai suoi server. Questo è il vantaggio principale di questo protocollo, ma questa scelta è stata fatta a scapito della sicurezza dell’utente. In effetti, il traffico HTTP può essere facilmente intercettato o addirittura deviato da attori malintenzionati.

TikTok: gli hacker possono distribuire in modo massiccio video falsi sul social network

Sfruttando i punti deboli del protocollo HTTP, un utente malintenzionato può scambiare video pubblicati dagli utenti TikTok con video diversi, compresi quelli di account popolari. Tutti i video pubblicati su TikTok sono distribuiti agli utenti tramite CDN diversi che indirizzano i video agli utenti che li visualizzano. Come spiegano i ricercatori, l’uso del protocollo HTTP non crittografato anziché HTTPS rende possibili attacchi man-in-the-middle .

In altre parole, un hacker può intervenire tra la CDN e gli utenti finali con la possibilità di leggere i pacchetti trasferiti o addirittura alterarli sostituendoli con flussi provenienti da altri server. “Pertanto, l’attaccante può trasmettere Fake News in un video di spam anziché in contenuti effettivamente pubblicati da una celebrità o su un account fidato”.

Per raggiungere questo obiettivo, l’hacker deve innanzitutto riuscire a corrompere il DNS degli utenti target inviandoli a un server falso che imita l’indirizzo dei CDN di TikTok. Questo compito ovviamente non è così semplice poiché l’hacker dovrà accedere al router di migliaia di utenti per modificare le impostazioni DNS . Tuttavia, è del tutto possibile che DNS popolari come quello degli ISP possano essere direttamente hackerati per indirizzare il traffico Internet verso server dannosi. In questo caso, i video falsi su TikTok potrebbero essere potenzialmente trasmessi a milioni di utenti .

I ricercatori hanno pubblicato una prova di concetto che consisteva nel distribuire falsi video sul coronavirus da account di fiducia come quelli dell’OMS o della Croce Rossa britannica e americana. Si sono comunque organizzati in modo tale che solo gli utenti connessi alla propria rete possano vedere i video (modifica dei parametri DNS della rete locale).

- Advertisement -
Daniel Akahttps://plus.google.com/106923473571641893009
Amante della tecnologia e amministrazione e creatore del sito. Con la passione della tecnologia e deciso nell'informare ogni genere di persona.
3,086FansLike
17FollowersFollow
0SubscribersSubscribe

Altre news

WhatsApp: le conversazioni si sincronizzeranno su più dispositivi in ​​tempo reale

Sappiamo da diverse settimane che WhatsApp sta lavorando a una funzionalità che consente di utilizzare lo stesso numero su più dispositivi . Non era ancora...

Snapchat: per competere con TikTok, la musica sta arrivando su Snaps

I social network sono diventati un'area senza legge in cui tutti copiano spudoratamente le migliori caratteristiche dei concorrenti. Snapchat, che ne è stato...

xCloud: il servizio di giochi in streaming sarà esclusivo per Android

Ancor più di Stadia o GeForce Now, xCloud di Microsoft è considerato il futuro Netflix per i videogiochi. Basato sulla tecnologia di streaming ,...

Ubuntu 20.04.1 LTS ora sta aprendo il percorso di aggiornamento di LTS

Canonical ha annunciato il rilascio di Ubuntu 20.04.1 LTS per i suoi prodotti desktop, server e cloud, nonché altre versioni di Ubuntu con supporto a lungo...

Galaxy S7, S8 e S9: furto di dati, blocco del telefono, grossi difetti di sicurezza individuati

Sui telefoni Samsung, la funzione Trova il mio cellulare viene utilizzata per localizzare uno smartphone o un tablet in caso di smarrimento o furto . Offre inoltre i...
guest
0 Commenti
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x