Les comptes d’utilisateurs sur TikTok ne pouvaient être pris en charge que par un simple clic sur un lien. Les chercheurs de Microsoft clarifient.

En cliquant simplement sur un lien malveillant, les attaquants ont pu prendre le contrôle du compte d’utilisateur de quelqu’un d’autre via l’application Android TikTok. Une mise à jour est déjà disponible et doit être installée de toute urgence.

Piraté en un seul clic – Microsoft clarifie

L’équipe de recherche Microsoft 365 Defender signale une vulnérabilité critique dans l’application Android de TikTok qui permettait la prise de contrôle en un clic des comptes d’utilisateurs étrangers. Il suffisait que la victime de l’attaque ouvre un lien spécial.

« Les attaquants auraient pu exploiter la vulnérabilité pour détourner un compte à l’insu des utilisateurs en cliquant simplement sur un lien spécialement conçu. Les attaquants pourraient alors avoir accédé et modifié les profils TikTok et les informations sensibles des utilisateurs, par exemple en publiant des vidéos privées, en envoyant des messages et en téléchargeant des vidéos au nom des utilisateurs. »

Dimitrios Valsamaras de l’équipe de recherche Microsoft 365 Defender

Accédez à 70 méthodes JavaScript de l’application TikTok

En cliquant sur le lien, les pirates pourraient potentiellement accéder à plus de 70 méthodes JavaScript. Ceux-ci pourraient être utilisés à mauvais escient avec un exploit pour détourner la WebView de l’application TikTok. Il s’agit d’un composant système responsable de l’affichage du contenu Web dans une application. En conséquence, les attaquants pourraient accéder aux données privées de la victime, les modifier ou même envoyer des requêtes HTTP authentifiées.

En envoyant une requête à leur propre serveur, les escrocs auraient pu lire les en-têtes de cookie et de requête et prendre les jetons d’authentification des utilisateurs. Cela leur aurait permis d’accéder ou de modifier les détails du compte TikTok de leurs victimes, y compris les vidéos privées et les paramètres de profil.

Une mise à jour de l’application TikTok peut aider

La vulnérabilité CVE-2022-28799 décrite par l’équipe de recherche Microsoft 365 Defender est fermée à partir de la version 23.7.3 de l’application TikTok. Jusqu’à présent, rien ne prouve que les attaquants aient déjà activement exploité la vulnérabilité.

Pour empêcher l’exploitation de ces vulnérabilités, il est conseillé aux utilisateurs de TikTok de ne jamais cliquer sur des liens provenant de sources non fiables. De plus, les applications doivent toujours être mises à jour et obtenues uniquement auprès de sources fiables. Cependant, comme les enfants sont le principal groupe cible de cette plateforme et qu’ils n’ont souvent pas encore une bonne compréhension de la sécurité, les parents sont également encouragés à ne pas laisser leurs enfants seuls avec TikTok.

Selon le Google Play Store, l’application TikTok compte actuellement plus d’un milliard de téléchargements. Selon Sensor Tower, l’application a même franchi la barre des deux milliards d’installations sur toutes les plateformes en 2020.