La superficie di attacco a tema Covid-19 sembra non avere confini: è stata infatti scoperta una vulnerabilità nella nota app TikTok che, se non corretta, potrebbe rivelarsi una pericolosa fonte di disinformazione in quanto consente la diffusione di messaggi fuorvianti sulla diffusione della pandemia di coronavirus.
In un post pubblicato sul blog Mysk, i ricercatori Talal Haj Bakry e Tommy Mysk hanno presentato in un PoC una tecnica di attacco man-in-the-middle contro dispositivi che eseguono l’app del noto social network che ha consentito di inserire nei feed degli utenti dei video con contenuti spacciati per legittimi.
Indice degli argomenti
Vulnerabilità in TikTok: di cosa si tratta
La vulnerabilità risiede nella modalità con cui l’app TikTok scarica i contenuti multimediali.
Come di consueto, le app dei social media per distribuire in modo diffuso e veloce i propri contenuti su scala geografica si affidano ai cosiddetti CDN (Content Delivery Networks).
Il particolare che ha favorito l’attacco MiTM in questione è che il CDN di TikTok trasferisce i dati multimediali attraverso il protocollo non sicuro HTTP. Come noto, a differenza di quanto avviene in una comunicazione tra un client ed un server basata su HTTPS, la trasmissione dei dati in chiaro renderebbe possibile agli attori malevoli di intercettarli e manometterli durante il loro tragitto.
I ricercatori hanno dimostrato come sia stato possibile sostituire i video pubblicati anche da utenti TikTok verificati. La simulazione di un attacco è stata realizzata e circoscritta all’interno di una LAN privata e non ha interessato e coinvolto in alcun modo l’utenza esterna.
Poiché il metodo descritto manipola la risoluzione dei nomi degli host, qualora venisse adoperato per agire e “avvelenare” i server DNS distribuiti in reti WAN (DNS poisoning), l’effetto potrebbe avere un esito più devastante. Le versioni delle app TikTok testate sono state la 15.5.6 per iOS e la 15.7.4 per Android.
La fase preparatoria dell’attacco
Per individuare e tracciare i dati multimediali (video e immagini) trasferiti in modalità non crittografata tra l’app TikTok e il relativo CDN è stato utilizzato Wireshark, il noto tool open source per l’acquisizione e l’analisi del traffico di rete.
Lo sniffing dei pacchetti di rete ha fornito le seguenti informazioni:
- TikTok trasporta via HTTP video, foto dei profili e le immagini delle anteprime visualizzate durante il download video;
- i video vengono scaricati dai seguenti domini: http[:// v19.muscdn[.com, http[:// v21.muscdn[. com, http[:// v34.muscdn[.com, mentre le foto dei profili e le immagini fisse dal dominio http[:// p16.muscdn[.com.
Vulnerabilità in TikTok: il traffico di rete HTTP acquisito da Wireshark.
L’attacco man-in-the-middle
I ricercatori hanno scelto di effettuare lo scambio ingannevole dei soli video e lasciare inalterati gli altri dati multimediali (seppur modificabili allo stesso modo) con l’obiettivo di comunicare messaggi video falsi appartenenti ad account fidati e impersonando il server legittimo v34[.muscdn[.com con uno falso tramite una attività di DNS poisoning.
Una contraffazione DNS può essere realizzata, come in questo caso, tramite accesso diretto ai router cambiando le impostazioni DNS (scrivendo un record DNS che associa il nome di dominio v34[.muscdn[.com all’indirizzo IP del server falso) oppure attraverso altri metodi utilizzati per sferrare attacchi via pharming.
L’attacco MiTM finale è riuscito a ingannare l’app TikTok sfruttando proprio la caratteristica del protocollo di comunicazione HTTP che non prevede alcun processo di verifica dell’identità tra client e server.
Questo PoC ha consentito ai ricercatori di provare e purtroppo di verificare con esito positivo come l’app TikTok installata su di un dispositivo collegato alla loro rete abbia ricevuto dal server DNS corrotto l’indirizzo IP del server video falso instaurando con esso una comunicazione a tutti gli effetti funzionante.
Il server falso interpellato ha quindi selezionato dei video contraffatti restituendoli all’app che, a sua volta, li ha riprodotti all’utente.
I video creati che presentano delle false riproduzioni audio/video palesemente fuorvianti sul delicato argomento Covid-19 sono stati fatti apparire come provenienti da account popolari e verificati tra i quali @britishredcross, @americanredcross e @tiktok solo per citarne alcuni.
Come mitigare la vulnerabilità in TikTok
L’importanza di utilizzo del protocollo HTTPS risulta imprescindibile non solo per tutti quei servizi web in cui l’interazione con l’utente preveda uno scambio di informazioni sensibili ma anche come dimostrato in quelle circostanze in cui un social network popolare come TikTok possa essere sfruttato come fonte di disinformazione e manipolazione di dati.
Purtroppo, è altrettanto vero che l’utilizzo del protocollo HTTP risulta ancora una consuetudine. Infatti, i colossi Apple e Google pur applicando delle restrizioni per bloccare il traffico in chiaro continuano a offrire agli sviluppatori la possibilità fornire la retrocompatibilità per supportare ancora l’HTTP, privilegiando delle scelte di marketing a scapito della privacy degli utenti e dell’integrità delle informazioni.
Il traffico HTTP, inoltre, può essere facilmente monitorato e modificato non solo da eventuali criminali informatici in senso stretto, ma anche da operatori Wi-Fi pubblici, provider internet e servizi di intelligence.
L’utilizzo esclusivo di un protocollo HTTPS può ovviamente risolvere tale problema solo parzialmente senza una radicata cultura informatica che coinvolga a 360 gradi sviluppatori, distributori e utenti finali e che sia imperniata sui principi di garanzia della sicurezza dell’informazioni e della privacy dell’utente.
