Hace ya algo más de año y medio que TikTok se ha convertido en una de las aplicaciones más populares a nivel mundial, sobre todo entre los más jóvenes. La actual cuarentena ha incrementado aún más la popularidad de la aplicación. Pese a su popularidad, las dudas sobre la seguridad y la privacidad no han cesado. Ahora se ha descubierto un fallo de seguridad en la misma.

Este fallo de seguridad que se ha descubierto en la aplicación permite a atacantes inyectar cualquier vídeo, como vídeos falsos, en el feed del usuario. Un fallo de seguridad preocupante, sobre todo si tenemos en cuenta que TikTok cuenta con alrededor de 1.000 millones de usuarios en todo el mundo.

Fallo de seguridad en TikTok

El informe donde se ha reportado este fallo de seguridad sobre la aplicación, informa de que TikTok no funciona de manera cifrada. Esto supone que se usa el protocolo HTTP, que no es seguro como HTTPS, para descargar el contenido multimedia. Si bien este protocolo facilita la transmisión del contenido, pone su privacidad en riesgo, ya que permite que las fotos y vídeos que los usuarios suban sean interceptados con facilidad.

TikTok hace uso de los llamados CDN (Content Delivery Networks o Red de distribución de contenidos) para distribuir sus datos masivos de manera geográfica. Aunque para que esto sea posible se usa el protocolo HTTP, que es el que usan para conectarse a dicho CDN. Basta con observar el tráfico de la aplicación para ver las grandes cantidades de datos que se transfieren mediante HTTP. Además, se pueden ver fotos y vídeos siendo transferidos sin cifrado alguno.

Si un atacante se cuela en este proceso, va a poder saber todos los vídeos que un usuario ha visto o descargado, el llamado historial de reproducción. Además, tendría también la posibilidad de descargar dicho vídeo e incluso modificarlo, para poder subirlo de nuevo a la aplicación. Esto permitiría incluir mensajes de spam o distribuir noticias falsas en la aplicación de una manera relativamente sencilla. Ya que el vídeo se inyectaría de nuevo en el feed del usuario, como un vídeo normal.

Un problema aún no solucionado

El grupo de investigadores decidió realizar varias pruebas para ver la manera en la que esto era posible. Establecieron una serie de servidores falsos y descargaron vídeos de TikTok, que modificaron posteriormente. Una vez modificados, los subieron nuevamente en la aplicación y se mostraban de nuevo en el perfil de la víctima.

Para que este tipo de ataques sean posibles, los atacantes deben tener acceso al router, que es lo que les permitirá acceder a la aplicación y así modificar o manipular dichos vídeos del usuario. El que se tenga que acceder al router del usuario es algo que de alguna manera limita las posibilidades de sufrir este tipo de problemas, pero que deja claro que la seguridad en la aplicación está en entredicho. Además, surge el temor a que se vayan a distribuir bulos, noticias falsas o polémicas de forma maliciosa en la aplicación debido a este fallo.

Según han mostrado los investigadores, las actuales versiones de TikTok para Android e iOS siguen sin cifrar los vídeos y fotos, de modo que sigue siendo una vulnerabilidad real, que puede afectar a los usuarios en la aplicación. Se espera que la empresa detrás de la app tome medidas pronto y mejore la seguridad en la app, puede que mediante una actualización, aunque de momento no han realizado ninguna declaración al respecto.