Une vulnérabilité TikTok de « haute gravité » a permis la prise de contrôle de compte en un clic

Une vulnérabilité dans l’application TikTok pour Android aurait pu permettre aux attaquants de prendre le contrôle de tout compte ayant cliqué sur un lien malveillant, affectant potentiellement des centaines de millions d’utilisateurs de la plateforme.

Les détails de l’exploit en un clic ont été publiés aujourd’hui dans un entrée de blog par des chercheurs de l’équipe de recherche 365 Defender de Microsoft. La vulnérabilité a été divulguée à TikTok par Microsoft et a depuis été corrigée.

Surnommée une “vulnérabilité de haute gravité”, la faille et l’attaque qui en résulte auraient pu être utilisées pour détourner le compte de n’importe quel utilisateur TikTok sur Android à son insu une fois qu’il avait cliqué sur un lien spécialement conçu. Après avoir cliqué sur le lien, l’attaquant aurait accès à toutes les fonctionnalités principales du compte, y compris la possibilité de télécharger et de publier des vidéos, d’envoyer des messages à d’autres utilisateurs et de visualiser les vidéos privées stockées dans le compte.

L’impact potentiel était énorme car il affectait toutes les variantes mondiales de l’application Android TikTok, qui compte plus de 1,5 milliard de téléchargements au total sur le Google Play Store. Cependant, rien ne prouve qu’il ait été exploité par de mauvais acteurs”, a déclaré Maureen Shanahan, porte-parole de TikTok. “Les chercheurs impliqués dans la découverte et la divulgation ont félicité TikTok pour sa réponse rapide.”

Microsoft a confirmé que TikTok avait répondu rapidement au rapport. “Nous avons partagé des informations avec eux sur la vulnérabilité et avons travaillé ensemble pour résoudre ce problème”, a déclaré Tanmay Ganacharya, directeur partenaire pour la recherche sur la sécurité chez Microsoft Defender for Endpoint. Le bord. “TikTok a répondu rapidement et nous saluons la solution efficace et professionnelle de l’équipe de sécurité.”

Selon les détails publiés dans le billet de blog, la vulnérabilité affecte le lien profond Fonctionnalité de l’application Android. Ce traitement des liens profonds demande au système d’exploitation de laisser certaines applications traiter les liens d’une certaine manière, par ex. B. Ouvrir l’application Twitter pour suivre un utilisateur après avoir cliqué sur un bouton HTML « Suivre ce compte » intégré dans une page Web.

Cette gestion des liens inclut également un processus de validation qui devrait limiter les actions entreprises lorsqu’une application charge un lien spécifique. Mais les chercheurs ont trouvé un moyen de contourner ce processus de vérification et d’exécuter un certain nombre de fonctions potentiellement militarisées au sein de l’application.

L’une de ces fonctionnalités leur permet d’obtenir un jeton d’authentification lié à un compte d’utilisateur spécifique, accordant ainsi l’accès au compte sans avoir à saisir de mot de passe. Lors d’une attaque de preuve de concept, les chercheurs ont créé un lien malveillant qui, une fois cliqué, a changé la biographie d’un compte TikTok en « SECURITY BREACH ».

Une capture d’écran d’un compte compromis.
Microsoft

Heureusement, la vulnérabilité a été identifiée et Microsoft en a profité pour souligner l’importance de la collaboration et de la coordination entre les plateformes technologiques et les fournisseurs.

“Alors que les menaces multiplateformes deviennent de plus en plus nombreuses et sophistiquées, les divulgations de vulnérabilités, les réponses coordonnées et d’autres formes de partage de renseignements sur les menaces sont nécessaires pour protéger les expériences informatiques des utilisateurs, quelle que soit la plateforme ou l’appareil utilisé”, a écrit Dimitrios Valsamaras de Microsoft dans le article de blog. “Nous continuerons à travailler avec la communauté de la sécurité au sens large pour partager la recherche et les renseignements sur les menaces afin de créer une meilleure protection pour tous.”

Bien que l’application TikTok soit connue pour n’avoir subi aucun piratage majeur jusqu’à présent, certains critiques l’ont qualifiée de risque de sécurité pour d’autres raisons.

Des inquiétudes ont récemment été exprimées quant à la mesure dans laquelle les ingénieurs basés en Chine de ByteDance, la société mère de TikTok, peuvent accéder aux données des utilisateurs américains. En juillet, les dirigeants de la commission sénatoriale du renseignement a exhorté la présidente de la FTC, Lina Khan, à enquêter sur TikTok Selon des informations, les affirmations selon lesquelles les données des utilisateurs américains auraient été scellées par la filiale chinoise de la société ont été contestées.

Correction et mise à jour : Cette histoire a été mise à jour avec une explication de TikTok. Une version précédente de cet article indiquait que TikTok n’avait pas répondu au moment de la publication. En fait, The Verge a reçu leur commentaire mais ne l’a pas enregistré. Nous regrettons l’erreur.

Leave a Reply

Your email address will not be published.