Une faille de TikTok permettait d’implanter des vidéos

Une faille de sécurité du populaire service de partage de vidéos TikTok permet à un attaquant local de détourner tout contenu vidéo diffusé vers le flux TikTok d’un utilisateur et de l’échanger contre du contenu généré par des pirates.

Les chercheurs ont créé une preuve de concept (PoC) à l’aide d’une technique appelée “attaque de l’homme du milieu (MiTM)” contre des appareils exécutant l’application TikTok. La vidéo insérée dans les flux d’utilisateur semble être un contenu légitime au premier coup d’œil.

tiktok

La faille est causée par le fait que l’application TikTok utilise une connexion HTTP non sécurisé pour le contenu vidéo dans le but d’améliorer la vitesse à laquelle elle peut transférer des données, ont affirmé les chercheurs Talal Haj Bakry et Tommy Mysk dans un article. Cependant, ce manque de protection permet également aux cybercriminels d’identifier et de modifier facilement tout trafic HTTP – y compris les vidéos – circulant sur le réseau, ont-ils déclaré.

«Comme toutes les applications de réseaux sociaux avec une large audience, TikTok s’appuie sur les réseaux de diffusion de contenu (CDN) pour distribuer géographiquement leurs données massives», ont écrit Bakry et Mysk. “Le CDN de TikTok choisit de transférer des vidéos et d’autres données multimédias via HTTP. … Le trafic HTTP peut être facilement suivi, et même modifié par des acteurs malveillants. »

Bakry est un développeur iOS senior chez NuraLogix Corp. tandis que Mysk est un DJ et producteur de musique.

La vulnérabilité est particulièrement inquiétante, affirment les deux, car les réseaux sociaux sont utilisés pour diffuser des informations erronées et façonner l’opinion publique. Selon eux, cela pourrait faire de l’application de partage de vidéos populaire la dernière plate-forme permettant aux pirates informatiques de répandre des mensonges et de semer la division parmi les utilisateurs de TikTok.

Dans leur preuve de concept, Mysk et Bakry ont montré comment les utilisateurs populaires de TikTok, qui utilisent des comptes vérifiés, pouvaient se faire pirater pour que leurs flux vidéo montrent des vidéos trompeuses minimisant la gravité de la pandémie du COVID-19.

tiktok

“La circulation de vidéos trompeuses et fausses dans une plate-forme populaire telle que TikTok présente d’énormes risques”, ont écrit les chercheurs. “Cela nous a encouragés à organiser une attaque d’homme du milieu pour changer des vidéos et démontrer les résultats.”

Selon Mysk, le contenu vidéo, les images de profil TikTok et les images vidéo statiques sont tous vulnérables aux attaques car ils sont transmis à partir de réseaux régionaux de distribution de contenu (CDN) en utilisant le protocole HTTP au lieu du protocole HTTPS.

Les principaux CDN tels qu’Apple et Google ont déjà des technologies et des paramètres intégrés dans iOS et Android, respectivement, qui nécessitent des connexions HTTP pour utiliser HTTPS et sécuriser la transmission des données. Cependant, ils ont tous deux fourni aux développeurs la possibilité de désactiver HTTPS pour des histoires de compatibilité, cela “devrait être l’exception plutôt que la règle”, ont écrit les chercheurs.

TikTok sur iOS (version 15.5.6) et TikTok sur Android (version 15.7.4) utilisent toujours une connexion HTTP non chiffré pour se connecter au CDN de TikTok, selon Bakry et Mysk. Ils ont demandé à TikTok, “un géant des réseaux sociaux avec environ 800 millions d’utilisateurs actifs par mois”, de résoudre le problème dès que possible et à “adhérer aux normes de l’industrie en termes de confidentialité et de protection des données”.

Pour mener à bien l’attaque, un pirate informatique doit contrôler le routeur que quelqu’un utilise pour accéder à Internet et à TikTok. Ensuite, le hacker peut rediriger les requêtes HTTP du contenu vidéo, qui fait partie du flux d’un utilisateur TikTok, vers un serveur contrôlé par des pirates. Cela permet au pirate d’effectuer une attaque MiTM(Man in The Middle), de manipuler toutes les données envoyées via HTTP et de fournir du contenu vidéo contrôlé par des pirates au lieu du contenu de l’utilisateur légitime de TikTok.

Dans leur preuve de concept, les chercheurs ont hébergé leurs vidéos falsifiées sur un serveur qui imite le comportement des serveurs CDN de TikTok, v34[.]Muscdn[.]com dans un scénario qui échange les vidéos des utilisateurs avec leurs fausses vidéos. Parce que le serveur usurpe l’identité des serveurs TikTok, l’application ne peut pas dire qu’il s’agit d’un imposteur, ont déclaré des chercheurs.

«L’astuce pour diriger l’application vers notre faux serveur est simple; cela comprend simplement l’écriture d’un enregistrement DNS pour v34[.]muscdn[.]com qui mappe le nom de domaine à l’adresse IP de notre faux serveur », ont écrit les chercheurs. «Cela peut être réalisé par des pirates qui ont un accès direct aux routeurs auxquels les utilisateurs sont connectés.»

En plus des pirates informatiques, d’autres personnes peuvent utiliser la vulnérabilité TikTok pour créer et diffuser de fausses vidéos comme les opérateurs Wi-Fi, qui peuvent configurer le routeur pour utiliser un serveur DNS corrompu; les fournisseurs VPN malveillants et les FAI qui peuvent rediriger les utilisateurs vers un serveur DNS corrompu; ou les gouvernements et les agences de renseignement, qui peuvent forcer les FAI à installer des outils qui suivent ou modifient les données, ont averti les chercheurs.

“Si vous vous méfiez de l’un de ces acteurs, alors ce que vous regardez sur TikTok peut avoir été modifié”, ont écrit Bakry et Mysk. “Cela s’applique également à tout service Internet utilisant HTTP.”

Comment se protéger de cette faille de TikTok?

Malheureusement il n’y a rien que vous ne puissiez faire de votre côté. Seul TikTok peut changer la configuration de son application pour utiliser une connexion sécurisée. Au final, la seule conséquence de cette faille serait la désinformation. Il faut donc se souvenir qu’il ne faut pas croire tout ce que l’on voit sur Internet et garder un esprit critique.

Si cet article vous a plu, jetez un œil à notre article précédent.