L'application Android TikTok abritait une faille critique que les cybercriminels auraient pu exploiter pour détourner des comptes d'utilisateurs, selon les chercheurs de Microsoft.
La vulnérabilité impliquait l'utilisation d'une URL spécialement conçue pour contourner le mécanisme de vérification des liens profonds de l'application et forcer le composant WebView de l'application à charger une URL arbitraire.
Ceci, à son tour, aurait pu permettre aux pirates d'effectuer une prise de contrôle de compte en un clic en exploitant une interface JavaScript attachée. La faille, identifiée sous CVE-2022-28799, affecte les anciennes versions de l'application TikTok (23.7.3 et antérieures).
Malgré l'énorme potentiel destructeur de la vulnérabilité, Microsoft n'a aucune preuve que des criminels l'aient réellement utilisée pour mener des attaques.
"La vulnérabilité, qui aurait nécessité l'enchaînement de plusieurs problèmes pour être exploitée, a été finalement corrigée et nous n'avons à ce jour trouvé aucune preuve de son exploitation", lit-on dans l'avis de sécurité de Microsoft. "Les attaquants auraient pu exploiter la vulnérabilité pour détourner un compte à l'insu des utilisateurs si un utilisateur ciblé cliquait simplement sur un lien spécifique. Les attaquants auraient alors pu accéder et modifier les profils TikTok et les informations sensibles des utilisateurs, par exemple en publiant des vidéos privées, en envoyant des messages et en publiant des vidéos au nom des utilisateurs.
L'équipe de recherche de la société a souligné que plus de 70 méthodes exposées pouvaient être invoquées en injectant du code JavaScript dans des pages Web chargées par WebView. Les acteurs de la menace auraient pu exploiter les méthodes pour divers effets, tels que la modification des données des utilisateurs et l'exécution de requêtes HTTP authentifiées vers des URL arbitraires.
Ils auraient également pu utiliser la vulnérabilité de contournement de vérification de lien profond divulguée conjointement avec une méthode d'authentification de requête HTTP pour compromettre les comptes TikTok.
Les experts ont déterminé que la vulnérabilité affectait les deux versions de TikTok : la version pour l'Asie de l'Est et du Sud-Est (com.ss.android.ugc.trill) et la version mondiale (com.zhilliaoap.musically). Rien que sur le Play Store de Google, les applications cumulent 1,5 milliard d'installations.
TikTok a été informé de la faille en février 2022 et a rapidement publié un correctif. Microsoft a publié une brève liste de recommandations pour rester à l'abri de cette attaque et d'autres similaires :
Des solutions spécialisées telles que Bitdefender Mobile Security peuvent vous aider à repousser les menaces de sécurité nouvelles et existantes grâce à des fonctionnalités telles que :
tags
Juillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024