Accueil Gaming Un correctif de l’exploitation de TikTok permettait potentiellement à des attaquants de...

Un correctif de l’exploitation de TikTok permettait potentiellement à des attaquants de prendre le contrôle de comptes d’utilisateurs

449
0

Des chercheurs en sécurité ont révélé qu’ils avaient découvert une énorme faille dans la sécurité de qui a affecté tous les utilisateurs ayant téléchargé l’application sur des appareils dans le monde entier. Mais s’il y a le moindre soupçon que des utilisateurs ont été touchés par cette faille de sécurité de « haute gravité », TikTok ne le dit pas.

Les chercheurs de Microsoft 365 Defender ont signalé mercredi une grave vulnérabilité dans la version Android de l’application TikTok, une vulnérabilité qui aurait pu permettre à de mauvais acteurs d’avoir potentiellement accès à tous les aspects du compte d’un utilisateur. Les chercheurs ont déclaré avoir révélé l’exploit à TikTok en février dernier par le biais de sa page de signalement des vulnérabilités.

Un correctif a été inclus dans une mise à jour publiée un mois plus tard, mais ni l’entreprise ni les chercheurs n’ont pu dire depuis combien de temps l’exploit existait.

Cet exploit permettait à des personnes malveillantes d’accéder au compte d’une personne simplement en cliquant sur un lien spécial. Dans le JavaScript du système, les personnes ayant un accès pouvaient modifier les informations de l’utilisateur ou les paramètres du profil. Tout mauvais aurait pu rendre publiques des vidéos privées, envoyer des messages à des amis ou à des inconnus, ou même télécharger des vidéos sur le compte de l’utilisateur. Beaucoup de choses posent problème, mais l’utilisation la plus évidente serait de collecter les informations du compte de l’utilisateur, y compris les mots de passe, les e-mails ou d’autres données sensibles. Les chercheurs ont déclaré que la vulnérabilité était classée « de haute gravité ».

TikTok n’a pas répondu aux questions de Theinquirer pour savoir s’il savait si des utilisateurs avaient déjà été touchés par l’exploit, bien que les chercheurs aient constaté que l’exploit était présent à la fois dans la version de l’application pour l’Asie de l’Est et dans la version de TikTok que le reste du monde utilise, donc essentiellement les 1,5 milliard de personnes qui ont téléchargé l’application extrêmement populaire et lucrative du Play Store pourraient avoir été sensibles.

Au lieu de cela, dans une déclaration par e-mail, un porte-parole de TikTok a réitéré les points exprimés dans le billet de blog des chercheurs de Microsoft, ajoutant : « Grâce à notre partenariat avec les chercheurs en sécurité de Microsoft, nous avons découvert et rapidement corrigé une vulnérabilité dans certaines anciennes versions de l’application Android. Nous apprécions les chercheurs de Microsoft pour leurs efforts visant à identifier les problèmes potentiels afin que nous puissions les résoudre. »

La société a également mis en avant sa page de primes aux exploits qu’elle gère avec HackerOne pour tenter d’éradiquer les exploits avant qu’ils n’aient la possibilité de nuire aux utilisateurs. Pour leur part, les chercheurs ont remercié l’équipe de sécurité de TikTok « pour sa collaboration rapide et efficace dans la résolution de ces problèmes. »

Comment tout cela a-t-il fonctionné ? Essentiellement, les chercheurs ont découvert que TikTok présentait une vulnérabilité dans la manière dont il effectuait les requêtes HTTP authentifiées, en particulier celles qui permettaient la fonctionnalité de lien profond mobile, qui permet d’accéder à différentes parties de l’application sans entrer dans l’application elle-même. Avez-vous déjà accédé à un message à partir d’un courriel ou d’une autre plateforme ? Il s’agit essentiellement d’un lien profond.

En fouillant dans ce code, les chercheurs peuvent contourner la vérification des liens profonds et accéder au jeton d’authentification d’un utilisateur lorsque celui-ci clique sur un lien malveillant spécial sur un serveur contrôlé qui lui permet d’enregistrer des cookies. Ce même serveur peut ensuite renvoyer une page HTML contenant du code JavaScript qui peut effectuer un certain nombre de modifications sur le compte.

Les chercheurs ont particulièrement insisté sur le danger que représentent les interfaces JavaScript non sécurisées, ajoutant « nous recommandons à la communauté des développeurs d’être consciente des risques et de prendre des précautions supplémentaires pour sécuriser WebView. » Récemment, un autre chercheur en sécurité a découvert un JavaScript dans TikTok qui pouvait potentiellement enregistrer toutes les entrées des utilisateurs lorsqu’ils se trouvaient dans le navigateur in-app de l’application. TikTok a expressément nié avoir utilisé ce script pour enregistrer les données de l’un de ses utilisateurs et a affirmé que le code était présent à des fins de débogage et de dépannage en arrière-plan.

Article précédentAlexander Isak a « rejeté » Man United après les conseils de son agent avant d’obtenir le transfert de Newcastle.
Article suivantLes réalisateurs de Batgirl ont essayé de sauver le film mais Warner Bros a supprimé des séquences : « Tout a disparu, même les scènes de Batman ».
Digital Nomad depuis 5 ans, en charge de la rédaction du site média The Inquirer, nous sélectionnons pour vous les dernières actualités économiques et internationales de manière indépendante et transparente !