2 min de lecture

Vulnérabilité de piratage de compte TikTok sous Android

Rémi VIRLOUVET

Septembre 08, 2022

Ad Un seul produit pour protéger tous vos appareils, sans les ralentir.
Essai gratuit de 90 jours
Vulnérabilité de piratage de compte TikTok sous Android

L'application Android TikTok abritait une faille critique que les cybercriminels auraient pu exploiter pour détourner des comptes d'utilisateurs, selon les chercheurs de Microsoft.

La vulnérabilité impliquait l'utilisation d'une URL spécialement conçue pour contourner le mécanisme de vérification des liens profonds de l'application et forcer le composant WebView de l'application à charger une URL arbitraire.

Ceci, à son tour, aurait pu permettre aux pirates d'effectuer une prise de contrôle de compte en un clic en exploitant une interface JavaScript attachée. La faille, identifiée sous CVE-2022-28799, affecte les anciennes versions de l'application TikTok (23.7.3 et antérieures).

Malgré l'énorme potentiel destructeur de la vulnérabilité, Microsoft n'a aucune preuve que des criminels l'aient réellement utilisée pour mener des attaques.

"La vulnérabilité, qui aurait nécessité l'enchaînement de plusieurs problèmes pour être exploitée, a été finalement corrigée et nous n'avons à ce jour trouvé aucune preuve de son exploitation", lit-on dans l'avis de sécurité de Microsoft. "Les attaquants auraient pu exploiter la vulnérabilité pour détourner un compte à l'insu des utilisateurs si un utilisateur ciblé cliquait simplement sur un lien spécifique. Les attaquants auraient alors pu accéder et modifier les profils TikTok et les informations sensibles des utilisateurs, par exemple en publiant des vidéos privées, en envoyant des messages et en publiant des vidéos au nom des utilisateurs.

L'équipe de recherche de la société a souligné que plus de 70 méthodes exposées pouvaient être invoquées en injectant du code JavaScript dans des pages Web chargées par WebView. Les acteurs de la menace auraient pu exploiter les méthodes pour divers effets, tels que la modification des données des utilisateurs et l'exécution de requêtes HTTP authentifiées vers des URL arbitraires.

Ils auraient également pu utiliser la vulnérabilité de contournement de vérification de lien profond divulguée conjointement avec une méthode d'authentification de requête HTTP pour compromettre les comptes TikTok.

Les experts ont déterminé que la vulnérabilité affectait les deux versions de TikTok : la version pour l'Asie de l'Est et du Sud-Est (com.ss.android.ugc.trill) et la version mondiale (com.zhilliaoap.musically). Rien que sur le Play Store de Google, les applications cumulent 1,5 milliard d'installations.

TikTok a été informé de la faille en février 2022 et a rapidement publié un correctif. Microsoft a publié une brève liste de recommandations pour rester à l'abri de cette attaque et d'autres similaires :

  • Éviter d'installer des applications à partir de sources inconnues
  • Maintenir à jour l'appareil et les applications installées
  • Éviter de cliquer sur des liens provenant de sources non fiables
  • Signaler toute activité suspecte sur l'application au fournisseur

Des solutions spécialisées telles que Bitdefender Mobile Security peuvent vous aider à repousser les menaces de sécurité nouvelles et existantes grâce à des fonctionnalités telles que :

  • Analyseur de logiciels malveillants
  • Module de protection Web qui scanne les pages Web et vous avertit du contenu potentiellement dangereux
  • Détection d'attaque basée sur les liens
  • Conseils en sécurité
  • Module de confidentialité des comptes qui vérifie si vos comptes ont été compromis par des violations de données
  • Scanner d'appareil qui inspecte automatiquement les applications nouvellement installées

tags


Auteur



Actualités

Les + populaires

Parentalité: la sécurité améliore le temps passé en ligne avec votre enfant

Parentalité: la sécurité améliore le temps passé en ligne avec votre enfant

Août 11, 2021

4 min de lecture
Cinq conseils pour renforcer la sécurité de votre compte Apple

Cinq conseils pour renforcer la sécurité de votre compte Apple

Juillet 16, 2021

6 min de lecture
Journée mondiale des Réseaux Sociaux : maîtriser votre vie numérique

Journée mondiale des Réseaux Sociaux : maîtriser votre vie numérique

Juin 30, 2021

3 min de lecture
7 conseils de sécurité pour protéger votre mobile et vos données personnelles

7 conseils de sécurité pour protéger votre mobile et vos données personnelles

Juin 23, 2021

4 min de lecture
Journée Mondiale du Mot de Passe, pour se rappeler qu'il faudrait vraiment changer «ce» mot de passe

Journée Mondiale du Mot de Passe, pour se rappeler qu'il faudrait vraiment changer «ce» mot de passe

Mai 06, 2021

3 min de lecture
La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

La serrure connectée August Smart Lock protège votre maison mais pas votre mot de passe Wi-Fi

Août 17, 2020

2 min de lecture

FOLLOW US ON

SOCIAL MEDIA


Vous pourriez également aimer

Victime d'une usurpation d'identité, un usager SNCF doit payer 3000€ Victime d'une usurpation d'identité, un usager SNCF doit payer 3000€
Rémi VIRLOUVET

Décembre 05, 2022

1 min de lecture
Des cybercriminels exploitent le "défi invisible" de TikTok Des cybercriminels exploitent le "défi invisible" de TikTok
Rémi VIRLOUVET

Décembre 05, 2022

2 min de lecture
500 millions de numéros de téléphone WhatsApp sur le Dark Web 500 millions de numéros de téléphone WhatsApp sur le Dark Web
Rémi VIRLOUVET

Novembre 29, 2022

2 min de lecture