Que l'on se rassure tout de suite, cette vulnérabilité a été découverte par Microsoft, et depuis, patchée par TikTok.
Heureusement, il semblerait que cette faille ait eu peu de chances d'être exploitée. Sinon, près de 1,5 milliard d'utilisatrices et d'utilisateurs du réseau social auraient pu être impactés.
Mieux vaut que cette faille n'ait jamais donné lieu à des piratages
Les équipes de recherche en sécurité et en vulnérabilité de Microsoft ont fait une découverte qui aurait pu impacter les deux versions de TikTok, l'une dédiée à l'Asie de l'Est et du Sud-Est, et l'autre au reste du monde. En effet, le célèbre réseau social aurait été en proie à un risque de piratage des comptes accru dans la version 23.7.3 de l'application Android, de même que les versions précédentes de l'app. La firme de Redmond a fait cette découverte en mars 2022 et a, dans la foulée, informé la maison-mère ByteDance. La réaction a été rapide et la faille de sécurité a été patchée dans la foulée.
De fait, toujours selon Microsoft, un simple clic sur un lien frauduleux et la détentrice comme le détenteur d'un compte TikTok aurait risqué le piratage en moins de deux. Une technique qui est assimilable à de l'hameçonnage, mais qui, d'après les chercheurs de l'entreprise fondée par Bill Gates, n'a pas eu le temps d'être exploitée par des pirates du Web. De quoi simplement faire office d'archive en l'état, même si les conséquences auraient été nombreuses si des hackers avaient pu s'introduire dans cette faille.
En effet, les hackers auraient eu un accès complet aux contenus des comptes ciblés, qu'il s'agisse aussi bien des données personnelles enregistrées, que des vidéos publiées. Et pour ce qui est des usages possibles, on laisse faire votre imagination, mais là encore, rien de bien souhaitable à la clef.
Un patch a rapidement pu être déployé par Tiktok sur les versions d'Android concernées
Les pirates en question auraient également été en mesure de forcer l'application à charger une URL frauduleuse via le composant WebView. Cela aurait permis aux hackers un accès facilité aux ponts JavaScript, toujours en WebView, de même qu'à diverses fonctionnalités et à près de 70 manières, selon Microsoft, d'accéder aux informations d'un même compte TikTok.
Les jetons d'authentification d'un détenteur de compte auraient également pu être récupérés par le lien profond employé sous les versions Android concernées, une fois que la malheureuse victime a cliqué dessus. De même, une requête HTTP vers un serveur contrôlé par le pirate et le réemploi de cookies et d'entêtes auraient rendu possible le piratage. Dans tous les cas, si vous possédez une version de TikTok non mise à jour sur l'une des versions d'Android concernées, n'attendez pas davantage pour la mettre à niveau.
Source : XDA Developers
