© Primakov / Shutterstock.com
L'une des applications les plus téléchargées au monde, chérie des adolescents, souffrait de plusieurs failles qui pouvaient permettre à des gens malintentionnés de faire des dégâts.
L'application mobile TikTok, développée par le géant mondial chinois ByteDance, qui voudrait installer son siège social hors de Chine, jouit d'une popularité exceptionnelle. Disponible dans plus de 150 pays et dans 75 langues, elle a franchi la barre stratosphérique du milliard d'utilisateurs, à la fin de l'année dernière. Mais l'appli, qui permet de créer, partager puis enregistrer de courtes vidéos privées sous forme de clips musicaux synchronisés, était menacée par d'importantes vulnérabilités, repérées par les chercheurs de Check Point Research.
Un pirate pouvait potentiellement prendre le contrôle du compte d'un utilisateur
Les vulnérabilités découvertes auraient pu permettre à des individus malveillants de manipuler le contenu à partir de compteurs d'utilisateurs de TikTok et même dérober des informations personnelles enregistrées sur ces comptes.Dans le détail, les chercheurs révèlent qu'un pirate pouvait envoyer un SMS frauduleux à l'utilisateur, qui évidemment incitait ce dernier à cliquer dessus. Si tel était le cas, l'attaquant aurait pu prendre le contrôle du compte et faire ce qu'il désire de son contenu : télécharger des vidéos, les supprimer, ou rendre publiques des vidéos que l'utilisateur ne souhaitaient pas publier, par exemple.
Les chercheurs de Check Point Research ont aussi décelé une vulnérabilité aux attaques XSS du sous-domaine de TikTok, ads.tiktok.com, où des scripts malveillants furent injectés, permettant de récupérer des informations personnelles enregistrées sur le compte des utilisateurs. Parmi les données dévoilées, on retrouve les adresses électroniques et les dates de naissance.
À gauche, un SMS inoffensif. À droite, un SMS contenant le lien attracker.com, frauduleux (© Check Point Research)
Les applications populaires, forcément plus exposées
Informée de ces différentes failles, l'équipe de sécurité de TikTok a depuis réagi et appliqué un correctif. « Comme de nombreuses entreprises, nous invitons les chercheurs en sécurité à nous communiquer en privé toute vulnérabilité zero day découverte. Avant de l'annoncer publiquement, CheckPoint a convenu que tous les problèmes signalés ont été corrigés dans la dernière version de notre application. Nous espérons que cette expérience nous permettra de continuer à collaborer avec les chercheurs en sécurité ». Tel est l'appel lancé par Luke Deshotels, qui a réagi au nom de TikTok.De son côté, Oded Vanunu, responsable des recherches sur les vulnérabilités des produits chez Check Point, rappelle que les applications les plus populaires sont toujours soumises à de forts risques : « Les pirates recherchent constamment des vulnérabilités sur les applications de réseaux sociaux, car ce sont de bonnes sources de données privées et elles comportent des surfaces d'attaque étendues. Ils dépensent de fortes sommes d'argent et consacrent tous leurs efforts à tenter de s'infiltrer dans ces applications populaires ».
Bien que très populaire, TikTok ne fait pas l'unanimité, notamment dans l'armée américaine, dont les membres n'ont plus l'autorisation d'utiliser l'application, qui « présente un risque potentiel pour la sécurité nationale », selon le démocrate Chuck Schumer. Cela ne vous rappelle-t-il rien ?
Source : Check Point Research
