Due ricercatori nel settore della sicurezza informatica, un americano e un arabo, Tommy Mysk e Talal Haj Bakry, hanno scoperto, o meglio messo in evidenza, una vulnerabilità nel noto social network TikTok che potrebbe consentire agli hacker di gestire gli account di altre persone, pubblicando video per conto loro. I due ricercatori hanno pubblicato video in diversi account popolari su TikTok, incluso l’account ufficiale dell’OMS (Organizzazione Mondiale della Sanità), dove è apparto un video che riportava informazioni fake sull’attuale situazione globale.
TikTok: dove risiede la falla nella sicurezza
Il problema è che il social network utilizza un protocollo non crittografato: in particolare TikTok fa ricorso al protocollo HTTP invece di HTTPS, un dettaglio che andrebbe sempre osservato quando si accede ad un link web: un sito con HyperText Transfer Protocol over Secure Socket Layer (HTTPS) garantisce un livello di sicurezza maggiore rispetto ad uno con il semplice HyperText Transfer Protocol (HTTP).
L’utilizzo da parte di TikTok del protocollo HTTP, osservano i ricercatori, consente ai proprietari di reti Wi-Fi pubbliche, ai provider di servizi Internet e i servizi pubblici, nonché a potenziali hacker e cybercriminali, di avere accesso alla cronologia di navigazione di tutti gli utenti che navigano su TikTok.
Un pericolo insito nell’utilizzo del protocollo HTTP. Diversamente, nei siti che ricorrono all’HTTPS la comunicazione tra client e server aggiunge alle regole del protocollo HTTP una connessione criptata SSL (Secure Socket Layer, da cui prende la “s” del nome).
In generale i siti HTTP non sono pericolosi in sé e per sé, molto dipende dai dati che trattano. Un sito che non raccolga o tratti i dati personali degli utenti non comporta nessun rischio particolare, anche se privo di un certificato SSL. Diversamente, siti come TikTok, altri social network, e qualsiasi portale che memorizzi e tratti dati personali e sensibili, dovrebbero considerare l’HTTPS come condizione indispensabile per garantire la sicurezza dei propri utenti.
Tornando al test effettuato su TikTok dai ricercatori, questi sono stati in grado di modificare il contenuto e sostituire i video reali pubblicati dall’utente con quelli falsi conducendo un attacco di tipo DNS (Domain Name Server) sulla rete. Successivamente, hanno pubblicato in rete un video che mostra come sia possibile, potenzialmente, entrare nei server DNS senza troppe difficoltà.
Un altro video fa vedere come hanno hakerato l’account dell’OMS.
Trattandosi di una dimostrazione e non di un attacco con finalità fraudolente, i ricercatori non hanno sostituito i video sul server TikTok, ma solo sulla rete domestica.