TikTok a patché 4 failles de sécurité importantes

Les chercheurs ont révélé 4 failles de haute gravité dans la version Android de TikTok qui auraient pu facilement être exploitées par une application Android tierce apparemment bénigne. En cas de succès, un attaquant pourrait compromettre complètement le compte TikTok de la cible. La divulgation publique des vulnérabilités a eu lieu le 11 Septembre et tous les bogues de sécurité ont été corrigés dans la version 17.4.4 de l’application.

Des chercheurs d’Oversecured ont déclaré avoir trouvé des failles d’exécution de code arbitraire et une vulnérabilité de vol arbitraire de fichiers dans TikTok. La divulgation des failles intervient au moment où le propriétaire de la plate-forme de médias sociaux aurait choisi Oracle comme partenaire technologique américain qui pourrait aider à maintenir l’application en activité aux États-Unis, alors que le président américain Donald Trump menaçe d’interdire l’application pour des raisons d’espionnage.

tiktok

Si elles sont exploitées, les failles d’exécution de code arbitraire pourraient permettre aux attaquants d’accéder aux messages privés et aux vidéos des victimes dans l’application. Ils pourraient également prendre le contrôle des autorisations de l’application, en leur donnant accès aux photos et vidéos des victimes stockées sur l’appareil, aux téléchargements du navigateur Web, aux fonctions d’enregistrement audio et vidéo et aux contacts.

«Toutes ces vulnérabilités auraient pu être exploitées par un hacker si un utilisateur avait installé une application malveillante sur son appareil Android», selon des chercheurs d’Oversecured, qui ont découvert les failles. «Toutes les vulnérabilités ont été supprimées. Les utilisateurs doivent mettre à jour vers la dernière version sur Google Play pour profiter de la meilleure expérience. “

Les failles de TikTok sur Android

Les chercheurs ont scanné l’application et ont trouvé plusieurs vulnérabilités dans la façon dont les fichiers sont chargés dans l’application. Toutes les failles d’exécution de code arbitraire ont été découvertes dans différents composants Android dans le fichier AndroidManifest.xml, qui est un fichier manifeste pour les projets d’application qui décrit des informations essentielles sur les applications pour les outils de construction Android, le système d’exploitation Android et Google Play.

Les composants Android en question sont: DetailActivity, NotificationBroadcastReceiver et l’interface IndependentProcessDownloadService AIDL (Android Interface Definition Language). Le problème avec ces composants est qu’ils ne disposent pas de certaines vérifications de sécurité, ce qui permet à une application tierce ou à quiconque d’y charger des fichiers arbitraires malveillants.

«La vulnérabilité initiale est qu’ils ont tous été « exposés » (ou non protégés par le modèle d’autorisation Android par défaut)», a déclaré Sergey Toshin, fondateur de Oversecured. “Cela a permis à des applications tierces de les atteindre.”

Afin d’exploiter les failles, un attaquant doit d’abord convaincre une cible de télécharger une application (comme une application de calculatrice, par exemple). Une fois téléchargée, l’application peut créer un fichier de bibliothèque dans le répertoire privé de TikTok et le charger automatiquement.

«La vulnérabilité aurait pu être exploitée par une application qui n’a été exécutée qu’une seule fois, puis, disons, supprimée», ont expliqué les chercheurs. “La bibliothèque aurait été écrite dans le répertoire privé de l’application et aurait pu être chargée par l’application même après le redémarrage du téléphone ou de l’application. Toutes les vulnérabilités liées à l’exécution de code arbitraire auraient conduit à une compromission complète de l’application et de ses utilisateurs. »

tiktok

Les trois failles d’exécution de code arbitraire ont été signalées le 27 janvier 2020 et corrigées entre juin et août, selon les chercheurs.

Les chercheurs ont également découvert une faille permettant le vol arbitraire de fichiers dans l’activité com.ss.android.ugc.aweme.livewallpaper.ui.LiveWallPaperPreviewActivity.

«Cette faille nécessitait une interaction de l’utilisateur mais conduisait à l’accès à des fichiers d’application protégés arbitraires», selon les chercheurs. “Un attaquant pourrait accéder aux données de l’application d’un utilisateur privé, telles que l’historique, les messages privés ou le jeton de session, conduisant à l’accès au compte de l’utilisateur.”

Ce bug de vol arbitraire de fichiers a été signalé le 16 février 2020 à TikTok, les versions 8.4.0 (12 septembre 2018) à 15.2.10 (21 mars 2020) de l’application sont vulnérables.

«Dans le cadre de nos efforts continus pour créer la plate-forme la plus sûre et la plus sécurisée du secteur, nous travaillons constamment avec des parti-tiers pour trouver et corriger les bogues», a déclaré un porte-parole de TikTok. «Alors que les bogues en question ne poseraient un risque que si un utilisateur avait également téléchargé une application malveillante sur son appareil Android, nous les avons corrigés. Nous apprécions le chercheur qui nous a signalé ce problème afin que nous puissions le résoudre, et nous encourageons tous nos utilisateurs à télécharger la dernière version de l’application. “

Les déboires de sécurité de TikTok

Au cours de l’année écoulée, TikTok a explosé en popularité, avec plus de 500 millions d’utilisateurs actifs par mois dans le monde, mais a également suscité une controverse autour de ses politiques de confidentialité et de sécurité. Les vulnérabilités ont depuis été corrigés.

TikTok a également fait l’objet d’un examen approfondi pour ses politiques de confidentialité et de sécurité au cours des derniers mois. En juin, une nouvelle fonctionnalité de confidentialité d’Apple iOS 14 a mis en lumière la pratique de TikTok de lire les données du presse-papier des utilisateurs d’iPhone, même si la société avait annoncé en Mars qu’elle cesserait.

En août, des chercheurs ont découvert que TikTok avait collecté des identifiants uniques à partir de millions d’appareils Android à l’insu de leurs utilisateurs en utilisant une tactique précédemment interdite par Google car elle violait la vie privée des gens.

Plus tôt cette année, en Janvier, des chercheurs ont découvert une vulnérabilité dans la plate-forme de TikTok qui pourrait permettre aux attaquants de prendre le contrôle à distance de certaines parties du compte TikTok des victimes, comme le téléchargement ou la suppression de vidéos et la modification des paramètres des vidéos pour rendre les vidéos «cachées» publiques.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x