TikTok Görüntülerini Geçersiz Görüntülerle Değiştirmek Mümkün

İnsanların kendi görüntülerini paylaştığı TikTok, güvenlik kelam konusu olduğunda pek çok kişinin aklında soru işareti bırakıyor. Son olarak Zoom ile gördüğümüz üzere, bir platform ne kadar büyük yahut tanınan olursa olsun güvenlik meseleleri her vakit ortaya çıkabiliyor. TikTok için de bu durum geçerli ve uygulamanın şimdiye dek isminin karıştığı birden çok skandal var.

TikTok üzerinde tespit edilen son güvenlik açığıysa hackerların düzmece sunuculara bağlanabilmesine ve görüntüler üzerinde oynama yapabilmesine müsaade veriyor. Bu sıkıntıya neden olan şeyse TikTok’un şirketin İçerik Dağıtım Ağları'ndan (CDN) medya içeriği almak için HTTPS yerine HTTP kullanmasından kaynaklanıyor.

Güvenlik araştırmacıları, pek çok doğrulanmış hesaba erişmeyi başardı:

Mevzuyu daha güzel açıklamak gerekirse HTTP kullanmak, data transfer performansında gözle görülür bir artış sağlar lakin beraberinde pek çok güvenlik açığını da getirir. Büyük platformların ve tarayıcılarının HTTPS’ye geçmesindeki ana neden de budur. Bu noktada Mysk isimli takım, daha inançlı HTTPS yerine HTTP kullanan TikTok’ta kullanıcılar tarafından yayınlanan görüntüleri lokal bir ağda DNS saldırısı düzenleyerek geçersiz görüntülerle değiştirmeyi başardı.

Üstte yer alan görüntüde da görüldüğü üzere Mysk, içlerinde Dünya Sıhhat Örgütü’nün de yer aldığı birçok tanınan ve doğrulanmış hesapta uydurma ve yanlış bilgiler içeren görüntüler oluşturdu. Bu aksiyon, TikTok’un güvenlik açığına dikkat çekmek için yapıldığından sırf geliştiricilerin sunucusuna direkt bağlı olan kullanıcılar bu görüntüleri görebildi.

“Sigara ve elektronik sigara içmek, koronavirüsü öldürür.”

Makûs niyetli bir maksatları olmadığını söyleyen yazılımcılar, sırf taarruzun mümkün olduğunu vurgulamak için bu türlü bir aksiyon yaptıklarının da altını çizdi. Bu noktada asıl vurgulanmak istenen şey, makus niyetli bir kişinin kullanıcılara ne derece ziyan verebileceği ve aldatıcı paylaşımlarda bulunabileceğiydi.

Güvenlik araştırmacılarına nazaran TikTok, şifrelemesini değiştirmezse başına gelecek tek sorun bu olmayacak. Bir öteki deyişle şirket, HTTPS’ye geçmezse daha pek çok HTTP kaynaklı saldırıya maruz kalacak.