TikTok, l’app più popolare tra i giovani d’oggi, è stata recentemente colpita da un attacco DNS che ha permesso di diffondere notizie false.
Inizialmente conosciuta come Musical.ly, nel 2018 ha preso il nome di TikTok. Questa app permette a chiunque di condividere dei video molto brevi, fino ad un massimo di un minuto, nel quale è possibile mettersi in mostra e dare sfogo alla propria creatività. Inizialmente veniva spesso utilizzata per fare da parodia a diverse canzoni, utilizzando la base come sottofondo. Ora invece è diventata anche un centro di divulgazione dei più importanti enti pubblici, tra cui l’Organizzazione Mondiale della Sanità (OMS) e la Protezione Civile. E’ come se fosse una sorta di Instagram, dove però i video sono il fulcro principale del servizio come lo sono le Storie per la piattaforma di Mark Zuckerberg.
Purtroppo però nelle ultime ore l’applicazione ha subito un attacco hacker, che ha subito messo a rischio la sicurezza dell’intero servizio. L’attacco ha permesso principalmente di modificare i video consigliati da TikTok, prelevandoli direttamente da un server esterno anziché quello principale.
Tutto ciò è stato possibile sfruttando una vulnerabilità piuttosto banale, ossia l’impiego di un protocollo HTTP invece che HTTPS, privo quindi della sicurezza sul trasferimento di dati che ha perciò garantito agli hacker un attacco DNS senza problemi. Ricordiamo che il protocollo HTTPS richiede un tempo leggermente maggiore di trasferimento rispetto all’HTTP ma offre una sicurezza per quanto riguarda la cifratura del traffico, garantendo in teoria la protezione da attacchi di questo tipo (chiamati in questo caso Man in the Middle). L’assenza di tale protezione ha fatto sì che il traffico potesse essere dirottato su un altro Content Delivery Network (CDN) e quindi trasferire i dati da lì direttamente sull’applicazione, mostrando informazioni false sul COVID-19.
A livello tecnico, una CDN è un sistema di computer collegati alla rete che permettono di trasferire dei dati in maniera ottimale, attraverso nodi sparsi per tutto il mondo. La CDN quindi decide il percorso (nodo) migliore da cui far passare il pacchetto, così che il tempo di ricezione sia più inferiore possibile. Questo sistema può gestire anche le diverse richieste DNS (che traducono i nomi di dominio in indirizzi IP) che i vari utenti eseguono da diverse posizioni. Un attaccante quindi può sfruttare una vulnerabilità nel CDN, come ad esempio l’uso del protocollo HTTP, per far sì che il CDN gestisca solamente richieste DNS che portano all’indirizzo IP del server malevolo invece che a quello iniziale. In questo modo è possibile sfruttare l’attacco per mostrare agli utenti informazioni illecite o comunque non consentite solitamente al servizio standard.
Le versioni colpite dall’attacco sono la 15.7.4 per Android e la 15.5.6 per iOS. Fortunatamente l’attacco DNS è stato effettuato solamente per dimostrare che una vulnerabilità apparentemente innocua, come l’uso dell’HTTP invece che HTTPS, sia in realtà il cavallo di Troia per malintenzionati che vogliono diffondere fake news o malware. Negli ultimi tempi Google sta spingendo molto sul passaggio da HTTP a HTTPS sui siti web, mostrando persino un avvertimento qualora si accedesse ad un dominio non protetto. Per capire i vantaggi di una connessione HTTPS, vi consigliamo di leggere questo articolo.