TikTok : des vulnérabilités, qui exposaient les données des utilisateurs, découvertes dans l'appli

09 janvier 2020 à 14h40
0
Tiktok
© Primakov / Shutterstock.com

L'une des applications les plus téléchargées au monde, chérie des adolescents, souffrait de plusieurs failles qui pouvaient permettre à des gens malintentionnés de faire des dégâts.

L'application mobile TikTok, développée par le géant mondial chinois ByteDance, qui voudrait installer son siège social hors de Chine, jouit d'une popularité exceptionnelle. Disponible dans plus de 150 pays et dans 75 langues, elle a franchi la barre stratosphérique du milliard d'utilisateurs, à la fin de l'année dernière. Mais l'appli, qui permet de créer, partager puis enregistrer de courtes vidéos privées sous forme de clips musicaux synchronisés, était menacée par d'importantes vulnérabilités, repérées par les chercheurs de Check Point Research.

Un pirate pouvait potentiellement prendre le contrôle du compte d'un utilisateur

Les vulnérabilités découvertes auraient pu permettre à des individus malveillants de manipuler le contenu à partir de compteurs d'utilisateurs de TikTok et même dérober des informations personnelles enregistrées sur ces comptes.


Dans le détail, les chercheurs révèlent qu'un pirate pouvait envoyer un SMS frauduleux à l'utilisateur, qui évidemment incitait ce dernier à cliquer dessus. Si tel était le cas, l'attaquant aurait pu prendre le contrôle du compte et faire ce qu'il désire de son contenu : télécharger des vidéos, les supprimer, ou rendre publiques des vidéos que l'utilisateur ne souhaitaient pas publier, par exemple.

Les chercheurs de Check Point Research ont aussi décelé une vulnérabilité aux attaques XSS du sous-domaine de TikTok, ads.tiktok.com, où des scripts malveillants furent injectés, permettant de récupérer des informations personnelles enregistrées sur le compte des utilisateurs. Parmi les données dévoilées, on retrouve les adresses électroniques et les dates de naissance.

tikT-image-4.png.jpg
À gauche, un SMS inoffensif. À droite, un SMS contenant le lien attracker.com, frauduleux (© Check Point Research)

Les applications populaires, forcément plus exposées

Informée de ces différentes failles, l'équipe de sécurité de TikTok a depuis réagi et appliqué un correctif. « Comme de nombreuses entreprises, nous invitons les chercheurs en sécurité à nous communiquer en privé toute vulnérabilité zero day découverte. Avant de l'annoncer publiquement, CheckPoint a convenu que tous les problèmes signalés ont été corrigés dans la dernière version de notre application. Nous espérons que cette expérience nous permettra de continuer à collaborer avec les chercheurs en sécurité ». Tel est l'appel lancé par Luke Deshotels, qui a réagi au nom de TikTok.


De son côté, Oded Vanunu, responsable des recherches sur les vulnérabilités des produits chez Check Point, rappelle que les applications les plus populaires sont toujours soumises à de forts risques : « Les pirates recherchent constamment des vulnérabilités sur les applications de réseaux sociaux, car ce sont de bonnes sources de données privées et elles comportent des surfaces d'attaque étendues. Ils dépensent de fortes sommes d'argent et consacrent tous leurs efforts à tenter de s'infiltrer dans ces applications populaires ».

Bien que très populaire, TikTok ne fait pas l'unanimité, notamment dans l'armée américaine, dont les membres n'ont plus l'autorisation d'utiliser l'application, qui « présente un risque potentiel pour la sécurité nationale », selon le démocrate Chuck Schumer. Cela ne vous rappelle-t-il rien ?

Source : Check Point Research
Modifié le 09/01/2020 à 15h24
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

CES 2020 : Panasonic dévoile des lunettes de réalité virtuelle au look très cyberpunk
#Record : 1,4 milliard de dollars ont été dépensés sur l'App Store en une semaine
CES 2020 : Thermaltake vous réserve quelques surprises sur son stand au CES
La Nintendo Switch s'est écoulée à plus de 3 millions d'unités en France
Soldes : Xiaomi Airdots Redmi à prix CHOC chez Cdiscount 🔥
Soldes Fnac: Sélection Clubic des PC ultra portable ACER -15%
Le premier étage du gigantesque lanceur SLS prend la route de son site d'essai
Soldes Cdiscount : Top 10 des promos Xiaomi, Apple, Samsung par Clubic
Soldes Cdiscount : SSD Interne M.2 NVME PNY 1 To à 119€ au lieu de 149,99€
CES 2020 : ViewSonic aussi sort un très grand écran pour gamer, 55
Haut de page