14 abr. 2020

TikTok utiliza protocolo HTTP para descargar contenido multimedia

Al igual que todas las aplicaciones de redes sociales con una gran base de usuarios, TikTok confía en Content Delivery Networks (CDN) para distribuir sus datos geográficamente pero, el CDN de TikTok transfiere videos y otros datos multimedia a través de HTTP.

Si bien esto mejora el rendimiento de la transferencia de datos, pone en riesgo la privacidad del usuario. El tráfico HTTP puede ser fácilmente visualizado e incluso alterado por actores maliciosos.

Se espera que las aplicaciones modernas preserven la privacidad de sus usuarios y la integridad de la información que les muestran. Las aplicaciones que usan HTTP sin cifrar para la transferencia de datos no pueden garantizar que los datos que reciben no se monitorearon ni alteraron. Es por eso que Apple introdujo App Transport Security en iOS 9, para requerir que todas las conexiones HTTP utilicen HTTPS. Google también ha cambiado la configuración de seguridad de red predeterminada en Android Pie para bloquear todo el tráfico HTTP de texto sin formato.

Apple y Google aún brindan una forma para que los desarrolladores opten por HTTPS por compatibilidad con versiones anteriores. Sin embargo, esta debería ser la excepción en lugar de la regla, y la mayoría de las aplicaciones han hecho la transición a HTTPS. Al momento de escribir esto, TikTok para iOS (Versión 15.5.6) y TikTok para Android (Versión 15.7.4) todavía usan HTTP sin cifrar para conectarse a TikTok CDN.

Después de una breve sesión de captura y análisis del tráfico de red desde la aplicación TikTok con Wireshark, es difícil pasar por alto las grandes cantidades de datos transferidos a través de HTTP. Si se inspeccionan los paquetes de red más de cerca, detectará claramente los datos de videos e imágenes que se transfieren de forma clara y sin cifrar.
En consecuencia, TikTok hereda todas las vulnerabilidades HTTP conocidas y bien documentadas. Cualquier enrutador entre la aplicación TikTok y los CDN de TikTok puede enumerar fácilmente todos los videos que un usuario ha descargado y visto, exponiendo su historial de reproducción. Los operadores públicos de Wifi, los proveedores de servicios de Internet y las agencias de inteligencia pueden recopilar estos datos sin mucho esfuerzo.

Fuente: Mysk

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!