Une faille de TikTok exposait les données des utilisateurs

Une vulnérabilité de TikTok, la populaire plate-forme de partage de vidéos, aurait pu permettre aux hackers de récupérer facilement les numéros de téléphone des utilisateurs, les identifiants uniques d’utilisateurs et d’autres données sensibles pour les attaques d’hameçonnage.

TikTok, propriété de ByteDance, compte plus de 800 millions d’utilisateurs actifs dans le monde. La vulnérabilité, qui a été signalée et corrigée avant sa divulgation, se trouvait dans la fonction «Trouver des amis» de l’application mobile TikTok. Cette fonctionnalité permet aux utilisateurs de retrouver leurs amis, soit via leurs contacts, via Facebook ou en invitant des amis.

Afin d’aider les utilisateurs à trouver des amis via leurs contacts, TikTok contenait une fonction de synchronisation pour les contacts qui avaient des comptes TikTok. Cela signifie qu’il est possible de connecter les détails du profil avec des numéros de téléphone. Les chercheurs ont déclaré qu’un hacker pourrait exploiter cette fonctionnalité afin d’interroger l’ensemble de la base de données de TikTok, ce qui pourrait potentiellement entraîner des violations de la vie privée.

«La vulnérabilité aurait pu permettre à un pirate informatique de créer une base de données contenant les détails des utilisateurs et leurs numéros de téléphone respectifs», a déclaré Oded Vanunu, responsable de la recherche sur les vulnérabilités produits chez Check Point. “Un attaquant disposant de ce degré d’informations sensibles pourrait mener plusieurs activités malveillantes, telles que le hameçonnage ciblé ou d’autres actions criminelles.”

L’attaque

Pour lancer une attaque, un individu malveillant doit d’abord contourner le mécanisme de signature de message HTTP de TikTok, qui vise à empêcher les pirates informatiques de falsifier des messages HTTP ou de modifier le corps de la requête HTTP.

Les chercheurs ont pu y parvenir en utilisant le service de signature de TikTok, exécuté en arrière-plan. En utilisant un framework d’analyse dynamique comme Frida, un attaquant pourrait accrocher la fonction, changer les données des arguments de la fonction (dans ce cas, les contacts que l’attaquant veut synchroniser) et re-signer la requête modifiée pour l’envoyer au serveur de l’application TikTok.

TikTok

À partir de là, un attaquant pourrait automatiser le processus de téléchargement et de synchronisation des contacts à grande échelle. Cela pourrait leur permettre de créer une base de données d’utilisateurs et de leurs numéros de téléphone connectés. Les autres détails du profil qui seraient accessibles incluent le pseudonyme associé au compte, les photos de profil et avatar, les identifiants uniques d’utilisateurs, ainsi que certains paramètres de profil.

Ce type de données peut donner aux attaquants les outils dont ils ont besoin pour les attaques d’ingénierie sociale utilisées dans les e-mails d’hameçonnage et d’hameçonnage ciblé. Par exemple, si un attaquant démontre à une victime d’hameçonnage qu’il détient son numéro de téléphone ou son identifiant unique d’utilisateur est associé à son compte TikTok, la victime est plus susceptible de le croire.

tiktok

Il faut noter que cette faille n’aurait pu concerner que les utilisateurs qui avaient choisi d’associer un numéro de téléphone à leur compte, ou qui s’étaient connectés avec un numéro de téléphone. Aucune de ces options n’est requise pour les utilisateurs.

Les chercheurs ont divulgué leurs résultats à ByteDance, qui a déployé une solution. Désormais, sous la fonction «Trouver des amis», les utilisateurs peuvent uniquement inviter leurs amis plutôt que de découvrir les contacts qui ont des comptes TikTok.

«La sécurité et la confidentialité de la communauté TikTok sont notre priorité absolue, et nous apprécions le travail de partenaires de confiance comme Check Point pour identifier les problèmes potentiels afin que nous puissions les résoudre avant qu’ils n’affectent les utilisateurs», a déclaré un porte-parole de TikTok dans un communiqué. «Nous continuons à renforcer nos défenses, à la fois en améliorant constamment nos capacités internes telles que l’investissement dans les défenses d’automatisation, et également en travaillant avec des tiers.»

Failles de TikTok

TikTok, qui a déjà déclenché une controverse pour ses politiques de confidentialité, a été confronté plus tôt en 2020 à un examen minutieux de diverses vulnérabilités trouvées dans sa plate-forme. Les chercheurs ont déclaré que la vulnérabilité la plus grave de la plate-forme pourrait permettre aux attaquants de prendre le contrôle à distance de certaines parties du compte TikTok des victimes, telles que le téléchargement ou la suppression de vidéos, et la modification des paramètres des vidéos pour rendre les vidéos «cachées» publiques.

Vanunu a recommandé aux utilisateurs de TikTok de «partager le strict minimum en ce qui concerne vos données personnelles» et de «mettre à jour votre système d’exploitation et vos applications avec les dernières versions».

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires