7

To straszne, jak prosto jest włamać się przez HTTP. Oto, jak sprzedać fake news 42 milionom obserwujących

Serwis mający 800 milionów aktywnych użytkowników miesięcznie dało się shakować za pomocą kilku komend. Przez to na oficjalnych profilach WHO czy Czerwonego Krzyża na TikToku pojawiły się materiały fake news dotyczące koronawirusa. Powodem jest używanie przez portal przestarzałego protokołu HTTP.

Jak zapewne wiele osób zauważyło, w przypadku stron WWW już jakiś czas przeszliśmy z protokołu HTTP na znacznie bezpieczniejszy HTTPS. Od 4 lat sama przeglądarka Chrome ostrzega nas przed stronami, które nie wspierają HTTPS. Jak się jednak okazuje, są obszary w których klasyczny HTTP ma się całkiem nieźle. Wykorzystywany jest on między innymi przez część firm do przesyłu danych pomiędzy wewnętrznymi serwerami, ponieważ jest szybszy niż HTTPS. Przedsiębiorstwa te wyraźnie zapominają, że podatności starszego protokołu są znane od lat i hakerzy nie mają skrupułów, aby je wykorzystać. Tak właśnie stało się w przypadku serwisu TikTok, który padł niedawno ofiarą ataku. Hakerzy znani jako Mysk wykorzystali podatność HTTP by opublikować na oficjalnych profilach WHO, Czerwonego Krzyża czy też samego TikToka fałszywe materiały na temat COVID-19.

Jak doszło do ataku na Tiktok?

Szczegóły ataku Mysk opisuje na swojej stronie. W telegraficznym skrócie – dzięki analizie ruchu sieciowego grupa dowiedziała się, że do transferu danych z CND (Content Delivery Networks) TikTok używa właśnie HTTP. Oznacza to, że każdy (mam tu na myśli dostawców internetu, operatorów komórkowych czy właścicieli kawiarni z hotspotem Wi-Fi którego używamy) może bez większych trudności wejść w posiadanie informacji o aktywności każdego użytkownika w aplikacji.

Wykorzystując tę wiedzę ludzie z Mysk stworzyli własny serwer (konkretnie v34.muscdn.com) i nadali mu parametry, dzięki którym dla aplikacji TikToka był on nie do odróżnienia od oryginalnych serwerów CDN. Następnie wrzucili na niego kilka materiałów w których zawarte były nieprawdziwe informacje dotyczące koronawirusa i COVID-19. Wykorzystując podatność rozproszonego systemu domen byli oni w stanie dodać swój serwer do listy serwerów,  z których aplikacja TikToka pobiera filmy. Jako, że nie wymaga ona żadnego uwierzytelnienia, filmy stworzone przez grupę były wyświetlane jako treści dodane m.in. przez WHO, Czerwony Krzyż czy oficjalny profil TikToka. Filmy trafiły także na profil Loren Gray, która w serwisie ma 42 miliony obserwujących. Na całe szczęście Mysk nie działało globalnie i dostęp do podrobionego serwera miały tylko osoby będące w sieci WiFi stworzonej przez  hakerów. Twórcy zaznaczają jednak, że jeżeli jakaś grupa chciałaby wyrządzić poważne szkody, mogłaby używając tych samych metod shakować DNS w taki sposób, by podrobione filmy pokazywały się użytkownikom TikToka na całym świecie.

Co pokazała nam ta lekcja?

Przede wszystkim to, co wiadomo od dawna – z wielką mocą wiąże się wielka odpowiedzialność. TikTok, mający w tym momencie około  800 milionów aktywnych użytkowników miesięcznie całkowicie o tym zapomniał. Jeżeli w serwisie istnieją podatności, które tak łatwo wykorzystać, to jestem wręcz przerażony, w jaki sposób jeszcze przestępcy są w stanie wpłynąć na wyświetlane tam treści. Pamiętajmy, że firma stojąca za TikTokiem jest też mocno zaangażowana w technologię pozwalającą na Deepfake, co w połączeniu z tym, że odbiorami zamieszczanych tam filmów są głównie dzieci tworzy dość niepokojący obraz rzeczywistości. Pozostaje mieć nadzieję, że po ostrzeżeniu, jakiego serwisowi udzielił Mysk, twórcy na poważnie podejdą do tematu bezpieczeństwa. Jeżeli nie, to zalecałbym osobom, które z TikToka korzystają, odstawienie tej aplikacji na jakiś czas.

Źródło: Mysk.blog