TikTok: hackers plaatsen valse coronavideo’s op jouw profiel

Hackers plaatsen valse coronavideo's op jouw TikTok-profiel
ISOPIX

Een team van software-ontwikkelaars heeft ontdekt dat hackers video’s in jouw naam op je profiel kunnen plaatsen. Verder is het ook mogelijk om video’s van de originele TikTok-gebruiker te vervangen met nieuwe, valse video’s.

Het team van ontwikkelaars wordt geleid door Tommy Mysk en Talal Haj Bakry. In een online bericht waarin ze hun bevindingen delen, leggen de twee uit dat TikTok gebruik maakt van Content Delivery Networks (of CDN’s) gebruikt. Hierdoor kan TikTok hun gegevens effectiever de wereld rondsturen. Om de prestaties te verbeteren dragen de CDN’s de gegevens over via niet-versleutelde HTTP. Wanneer men kiest voor niet-versleutelde HTTP via de veiligere HTTPS, kan de privacy van de gebruiker in gevaar komen.

ISOPIX

Door middel van de router tussen de TikTok-app en de TikTok-CDN’s kunnen alle video’s die een gebruiker gedownload of bekeken heeft, weergegeven worden. Op die manier is zijn/haar kijkgeschiedenis zichtbaar. Volgens Mysk en Bakry kunnen openbare wifi-operators, internetproviders en inlichtingendiensten deze gegevens zonder veel moeite verzamelen.

Vatbaar voor aanvallen

Apple en Google veranderden al door hun apps een gecodeerde HTTPS te laten gebruiken. Toch zijn er enkele app-ontwikkelaars die toch kiezen voor de niet-gecodeerde HTTP. Omdat TikTok gegevens zoals video’s en profielfoto’s overdraagt via HTTP, merkten ontwikkelaars dat ze vatbaar waren voor ‘aanvallen’. Hackers konden hierdoor de inhoud van een video wijzigen en de originele video wisselen met een nepvideo.

In bovenstaande video zie je een voorbeeld van hoe problematisch een DNS-aanval op een lokaal netwerk kan zijn.

Omdat ze de kwetsbaarheid van het ‘lek’ wilden testen, uploadden Mysk en Bakry een video met valse informatie over het coronavirus op het TikTok-account van de Wereldgezondheidsorganisatie (WHO) De twee ontwikkelaars slaagden erin hetzelfde te doen op het TikTok-account van het Rode Kruis én zelfs het officiële profiel van TikTok.

ISOPIX

Om de wijzigingen van Mysk en Bakry op een video van iemand anders te kunnen uitvoeren, moet de gebruiker verbonden zijn met zijn thuisrouter. Voor alle duidelijkheid: de aanpassingen of vervanging van de video gebeuren niet op de servers van TikTok. Toch kan een persoon met slechte bedoelingen gebruik maken van deze methode om schade aan te richten.

Tommy Mysk bevestigde aan Mashable dat TikTok verschilt van de meeste concurrenten door middel van hun keuze om gegevens via HTTP over HTTPS over te dragen. De concurrenten zijn dus meer op hun privacy gesteld. Bovendien heeft Mysk ook tests gedaan bij Facebook, Instagram, YouTube, Twitter en Snapchat. Allemaal dragen ze hun gegevens over via HTTPS. Uitgenomen TikTok dus.

Niet het eerste probleem

Eerder dit jaar al ontdekte cyberbeveiligingsbedrijf Check Point een aantal beveiligingsfouten in de TikTok-app. Hackers konden de controle van een account overnemen. TikTok reageerde door het virale videoplatform tijdelijk te verplaatsen om de fouten weg te werken. Niet veel later ontdekten Mysk en Bakry nog een beveiligingsprobleem: de applicatie kon de geschiedenis van je iPhone-klembord bespioneren.

ISOPIX

Omwille van zijn relatie met het Chinese moederbedrijf Bytedance, heeft TikTok zich altijd al moeten bewijzen als veilig platform. Veel Amerikaanse overheidsmedewerkers mogen de app niet eens gebruiken.

Gesponsorde artikelen