Technology

Une vulnérabilité TikTok « de gravité élevée » a permis le piratage de compte en un clic

Written by admin

Une vulnérabilité dans l’application TikTok pour Android aurait pu permettre aux attaquants de prendre le contrôle de n’importe quel compte ayant cliqué sur un lien malveillant, affectant potentiellement des centaines de millions d’utilisateurs de la plateforme.

Les détails de l’exploit en un clic ont été révélés aujourd’hui dans un article de blog des chercheurs de l’équipe de recherche Microsoft 365 Defender. La vulnérabilité a été divulguée à TikTok par Microsoft et a depuis été corrigée.

Le bogue et l’attaque qui en a résulté, qualifiée de “vulnérabilité élevée”, auraient pu être utilisés pour détourner le compte de n’importe quel utilisateur de TikTok sur Android à son insu, une fois qu’il avait cliqué sur un lien spécialement conçu. Une fois le lien cliqué, l’attaquant aurait accès à toutes les fonctions principales du compte, y compris la possibilité de télécharger et de publier des vidéos, d’envoyer des messages à d’autres utilisateurs et de visualiser les vidéos privées stockées dans le compte.

L’impact potentiel était énorme, car il affectait toutes les variantes mondiales de l’application Android TikTok, qui totalise plus de 1,5 milliard de téléchargements sur le Google Play Store. Cependant, rien ne prouve qu’il ait été exploité par de mauvais acteurs », a déclaré Maureen Shanahan, porte-parole de TikTok. “Les chercheurs impliqués dans la découverte et la divulgation ont félicité TikTok pour une réponse rapide.”

Microsoft a confirmé que TikTok avait répondu rapidement au rapport. “Nous leur avons donné des informations sur la vulnérabilité et avons collaboré pour aider à résoudre ce problème”, a déclaré Tanmay Ganacharya, directeur partenaire pour la recherche sur la sécurité chez Microsoft Defender for Endpoint. Le bord. “TikTok a répondu rapidement, et nous saluons la résolution efficace et professionnelle de l’équipe de sécurité.”

Selon les détails publiés dans le billet de blog, la vulnérabilité a affecté le lien profond fonctionnalité de l’application Android. Cette gestion des liens profonds indique au système d’exploitation de laisser certaines applications traiter les liens d’une manière spécifique, comme ouvrir l’application Twitter pour suivre un utilisateur après avoir cliqué sur un bouton HTML “Suivre ce compte” intégré dans une page Web.

Cette gestion des liens inclut également un processus de vérification qui doit limiter les actions effectuées lorsqu’une application charge un lien donné. Mais les chercheurs ont trouvé un moyen de contourner ce processus de vérification et d’exécuter un certain nombre de fonctions potentiellement militarisables au sein de l’application.

L’une de ces fonctions leur permet de récupérer un jeton d’authentification lié à un certain compte d’utilisateur, accordant ainsi l’accès au compte sans avoir à saisir de mot de passe. Lors d’une attaque de preuve de concept, les chercheurs ont créé un lien malveillant qui, une fois cliqué, a changé la biographie d’un compte TikTok pour lire « SECURITY BREACH ».

Une capture d’écran d’un compte compromis.
Microsoft

Heureusement, la vulnérabilité a été détectée et Microsoft a profité de l’occasion pour souligner l’importance de la collaboration et de la coordination entre les plates-formes technologiques et les fournisseurs.

“Alors que les menaces sur les plates-formes continuent de croître en nombre et en sophistication, les divulgations de vulnérabilités, une réponse coordonnée et d’autres formes de partage de renseignements sur les menaces sont nécessaires pour aider à sécuriser l’expérience informatique des utilisateurs, quelle que soit la plate-forme ou l’appareil utilisé”, a écrit Dimitrios Valsamaras de Microsoft. dans le billet de blog. “Nous continuerons à travailler avec la communauté de la sécurité au sens large pour partager les recherches et les renseignements sur les menaces dans le but de créer une meilleure protection pour tous.”

Bien que l’application TikTok ne soit pas connue pour avoir subi des piratages majeurs jusqu’à présent, certains critiques l’ont qualifiée de risque de sécurité pour d’autres raisons.

Récemment, des inquiétudes ont été exprimées quant à la mesure dans laquelle les données des utilisateurs américains peuvent être consultées par les ingénieurs basés en Chine de ByteDance, la société mère de TikTok. En juillet, les dirigeants de la commission sénatoriale du renseignement a appelé la présidente de la FTC, Lina Khan, à enquêter sur TikTok après que des rapports ont remis en question les allégations selon lesquelles les données des utilisateurs américains auraient été isolées de la branche chinoise de la société.

Correction et mise à jour : Cette histoire a été mise à jour avec une déclaration de TikTok. Une version précédente de cet article indiquait que TikTok n’avait pas répondu au moment de la publication. En fait, The Verge a reçu leur commentaire mais ne l’a pas inclus. Nous regrettons l’erreur.

About the author

admin

Leave a Comment