La popular plataforma para compartir videos cortos TikTok ha sido llamada por dos desarrolladores que afirman que la compañía utiliza una red insegura para entregar la mayor parte de los datos, lo que pone en riesgo la privacidad de los usuarios en su plataforma. Según los dos desarrolladores de iOS, TikTok supuestamente utiliza "HTTP inseguro para descargar contenido multimedia", que "pone en riesgo la privacidad del usuario" ya que el tráfico HTTP no encriptado puede ser fácilmente rastreado e incluso alterado por actores maliciosos. Esto significa que los piratas informáticos pueden acceder a los datos de los usuarios, incluido su historial de observación. Mientras tanto, TikTok aún no ha respondido a la 'amenaza de seguridad' expuesta por los desarrolladores. La aplicación de la compañía recientemente superó los mil millones de instalaciones en Google Play Store.
Los desarrolladores, Talal Haj Bakry y Tommy Mysk, en un entrada en el blog destacó que debido al uso de HTTP inseguro, los hackers también pueden "cambiar videos publicados por usuarios de TikTok por otros diferentes, incluidos los de cuentas verificadas". El dúo afirmó además que esta vulnerabilidad también puede exponer el historial de observación del usuario.
Al explicar por qué existe la amenaza a la seguridad, los desarrolladores en la publicación del blog declararon que TikTok, como otro medio de comunicación social, depende de servidores externos o Redes de Entrega de Contenido (CDN) para entregar la mayor parte de sus datos. La publicación agregó que el CDN de TikTok elige transferir videos y otros datos de medios a través de HTTP sin cifrar.
"Si bien esto (HTTP) mejora el rendimiento de la transferencia de datos, pone en riesgo la privacidad del usuario. El tráfico HTTP puede ser fácilmente rastreado e incluso modificado por actores maliciosos", escribieron los desarrolladores.
Esto significa esencialmente que cualquiera que pueda ver el tráfico de la red que pasa a través de un enrutador Wi-Fi podría leer la información proveniente de los servidores de TikTok y modificarla incluso plantando un video falso en una cuenta sin el conocimiento del usuario.
Según la publicación del blog, los archivos como "videos, fotos de perfil e imágenes fijas de video" se transfieren a través de HTTP, lo que indica que corren el riesgo de que los piratas informáticos los accedan. Para mostrar aún más la vulnerabilidad de la aplicación TikTok, Bakry y Mysk publicaron videos en su blog donde interceptaron los datos de los servidores CDN y los reemplazaron con "contenido malicioso". El video, por lo tanto, mostró contenido falso relacionado con COVID-19 en la cuenta TikTok de la OMS, que fue plantado por ellos.
"Interceptamos con éxito el tráfico de TikTok y engañamos a la aplicación para que mostrara nuestros propios videos como si fueran publicados por cuentas populares y verificadas. Esto es una herramienta perfecta para aquellos que intentan contaminar Internet sin descanso con hechos engañosos", dijeron los desarrolladores.
Sin embargo, el dúo advirtió que este "contenido malicioso" solo era visto por aquellos que estaban conectados a sus servidores. Los desarrolladores indicaron que la amenaza expuesta, cuando se replica en un servidor a gran escala, puede publicar una mayor privacidad o riesgos relacionados con noticias falsas. Agregaron además que la vulnerabilidad está presente en la versión 15.5.6 de iOS de TikTok y en la versión 15.7.4 de Android.
Mientras tanto, TikTok aún no ha abordado las preocupaciones planteadas por los dos desarrolladores. TikTok recientemente superó los mil millones de descargas en Google Play. Esto se produjo en medio de bloqueos en varios países para frenar la propagación del nuevo coronavirus.