L’application TikTok est remplie de failles de sécurité

Des chercheurs en sécurité informatique affirment avoir trouvé plusieurs vulnérabilités majeures dans l’application TikTok.

Selon les chercheurs, la vulnérabilité la plus sérieuse de la plateforme permet aux hackers de prendre le contrôle du compte TikTok des victimes à distance. Ils pourraient donc publier ou supprimer des vidéos et changer les paramètres que les vidéos “cachées” deviennent publiques. Les chercheurs ont aussi découvert une autre vulnérabilité qui permet d’obtenir les données personnelles des victimes, tel que les adresses e-mail etc…

“La plupart d’entre nous utilise l’application TikTok pour partager des moments amusants et capturer des souvenirs sous forme de vidéos de courte durée,” ont déclaré les chercheurs de Check Point Research. “Mais comme certains ont pu le voir, il n’y a qu’un pas entre les vidéos amusantes et les vidéos privées, du contenu intime pourrait être compromis en faisant confiance aux protections des applications qu’on utilise.”

TikTok est une application de réseau social avec plus de 1.3 milliards d’installations dans le monde. Elle appartient à la compagnie ByteDance qui est basée à Pékin. ByteDance avait été notifié en Novembre 2019 à propos de ces failles et a fixé le problème le 15 Décembre, selon les chercheurs.

La première vulnérabilité permettait la prise de contrôle partielle via le spoofing de lien par SMS. Les chercheurs ont pu spoofé un lien SMS TikTok qui invite les utilisateurs à télécharger l’application.

tiktok

Un hacker pourrait envoyer une invitation SMS à une victime en capturant la requête HTTP avec un outil proxy (comme Burp Suite par exemple), insérer le numéro de téléphone de la victime dans le paramètre “Mobile” et changer le paramètre “download_url” en une URL malveillante. La victime recevrait donc ensuite un message venant de TikTok lui demandant de télécharger l’application mais avec un lien qui pointe vers le domaine malveillant contrôlé par le hacker.

La victime est vulnérable à une ribambelle d’attaques selon les chercheurs.

“Nous avons découvert qu’il est possible d’envoyer un lien malveillant à la victime qui la redirigera vers un site malveillant. La redirection permet d’accomplir des attaques Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) et Sensitive Data Exposure (Exposition de données sensibles) à l’insu de l’utilisateur,” ont-il affirmé.

Les chercheurs ont même réalisé qu’ils pouvaient pousser cette attaque un peu plus loin en envoyant des requêtes en se faisant passer pour l’utilisateur après que la victime ait ouvert l’URL. Cela permet de prendre le contrôle de certaines parties des comptes des victimes.

“Avec le manque de mécanismes de sécurité concernant les attaques Cross-Site Request Forgery, nous avons découvert que nous pouvions exécuter du code JavaScript et effectuer des actions en se faisant passer pour l’utilisateur” ont expliqué les chercheurs.

Les chercheurs affirment qu’une fois qu’ils avaient le contrôle partiel des comptes des victimes, ils ont pu faire plusieurs appels API (dans les sous-domaines https://api-t[.]tiktok[.]com et https://api-m[.]tiktok[.]com). Cela leur a permis d’accéder à des informations sensibles comme les adresses e-mail, les informations de paiement et les dates de naissance.

“TikTok est engagé dans la protection des données des utilisateurs. Comme beaucoup d’organisations, nous encourageons les chercheurs en sécurité informatique à partager en privé les vulnérabilités 0-day avec nous,” a déclaré un porte-parole de TikTok. “Avant la divulgation public, Check Point s’est assuré que toutes les failles avaient été patchées dans la dernière version de notre application. Nous espérons que cette résolution réussie encouragera de futures collaborations avec les chercheurs en sécurité.”

TikTok en une des journaux

Ces failles de sécurité surviennent peu de temps après que la relation de TikTok avec la Chine ait été mis sur le devant de la scène, forçant l’armée américaine à annoncer que les soldats américains n’avaient plus le droit d’utiliser cette application sur les téléphones que leur fournit le gouvernement.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x