Una fallo de seguridad en la forma en que la red social musical TikTok gestiona la descarga de contenidos que expone a sus usuarios a ataques en los que los 'hackers' pueden manipular los contenidos de cuentas populares verificadas.
Debido a este problema, los cibercriminales se hagan pasar por creadores populares para distribuir mensajes falsos o invadir la privacidad de los usuarios, según han explicado los expertos en ciberseguridad Talal Haj Bakry y Tommy Mysk.
La vulnerabilidad reside en el forma en que TikTok gestiona la descarga de contenidos como vídeos y otros archivos a través del protocolo HTTP. "Aunque esto mejora el rendimiento de la transferencia de datos, pone la privacidad de los usuarios en riesgo", de acuerdo a la investigación.
"El tráfico HTTP puede ser rastreado fácilmente e incluso alterado por actores maliciosos", como advierten los desarrolladores, en especial si el tráfico HTTP no se encuentra encriptado como sucede en la red social china.
De esta forma, es posible alterar los vídeos de cualquier canal y sustituirlos por otros. Esto incluye los canales verificados de famosos e instituciones, de forma que es posible difundir noticias falsas con esta técnica.
La vulnerabilidad ha sido replicada por los autores de la investigación y se encuentra presente en la versión 15.5.6 de la 'app' para iOS y en la versión 15.7.4 de Android.
