TikTok : des vulnérabilités, qui exposaient les données des utilisateurs, découvertes dans l'appli

09 janvier 2020 à 14h40
0
Tiktok
© Primakov / Shutterstock.com

L'une des applications les plus téléchargées au monde, chérie des adolescents, souffrait de plusieurs failles qui pouvaient permettre à des gens malintentionnés de faire des dégâts.

L'application mobile TikTok, développée par le géant mondial chinois ByteDance, qui voudrait installer son siège social hors de Chine, jouit d'une popularité exceptionnelle. Disponible dans plus de 150 pays et dans 75 langues, elle a franchi la barre stratosphérique du milliard d'utilisateurs, à la fin de l'année dernière. Mais l'appli, qui permet de créer, partager puis enregistrer de courtes vidéos privées sous forme de clips musicaux synchronisés, était menacée par d'importantes vulnérabilités, repérées par les chercheurs de Check Point Research.

Un pirate pouvait potentiellement prendre le contrôle du compte d'un utilisateur

Les vulnérabilités découvertes auraient pu permettre à des individus malveillants de manipuler le contenu à partir de compteurs d'utilisateurs de TikTok et même dérober des informations personnelles enregistrées sur ces comptes.


Dans le détail, les chercheurs révèlent qu'un pirate pouvait envoyer un SMS frauduleux à l'utilisateur, qui évidemment incitait ce dernier à cliquer dessus. Si tel était le cas, l'attaquant aurait pu prendre le contrôle du compte et faire ce qu'il désire de son contenu : télécharger des vidéos, les supprimer, ou rendre publiques des vidéos que l'utilisateur ne souhaitaient pas publier, par exemple.

Les chercheurs de Check Point Research ont aussi décelé une vulnérabilité aux attaques XSS du sous-domaine de TikTok, ads.tiktok.com, où des scripts malveillants furent injectés, permettant de récupérer des informations personnelles enregistrées sur le compte des utilisateurs. Parmi les données dévoilées, on retrouve les adresses électroniques et les dates de naissance.

tikT-image-4.png.jpg
À gauche, un SMS inoffensif. À droite, un SMS contenant le lien attracker.com, frauduleux (© Check Point Research)

Les applications populaires, forcément plus exposées

Informée de ces différentes failles, l'équipe de sécurité de TikTok a depuis réagi et appliqué un correctif. « Comme de nombreuses entreprises, nous invitons les chercheurs en sécurité à nous communiquer en privé toute vulnérabilité zero day découverte. Avant de l'annoncer publiquement, CheckPoint a convenu que tous les problèmes signalés ont été corrigés dans la dernière version de notre application. Nous espérons que cette expérience nous permettra de continuer à collaborer avec les chercheurs en sécurité ». Tel est l'appel lancé par Luke Deshotels, qui a réagi au nom de TikTok.


De son côté, Oded Vanunu, responsable des recherches sur les vulnérabilités des produits chez Check Point, rappelle que les applications les plus populaires sont toujours soumises à de forts risques : « Les pirates recherchent constamment des vulnérabilités sur les applications de réseaux sociaux, car ce sont de bonnes sources de données privées et elles comportent des surfaces d'attaque étendues. Ils dépensent de fortes sommes d'argent et consacrent tous leurs efforts à tenter de s'infiltrer dans ces applications populaires ».

Bien que très populaire, TikTok ne fait pas l'unanimité, notamment dans l'armée américaine, dont les membres n'ont plus l'autorisation d'utiliser l'application, qui « présente un risque potentiel pour la sécurité nationale », selon le démocrate Chuck Schumer. Cela ne vous rappelle-t-il rien ?

Source : Check Point Research
Modifié le 09/01/2020 à 15h24
0
0
Partager l'article :

Les actualités récentes les plus commentées

Tesla aurait six ans d’avance technologique sur ses principaux concurrents
Le cascadeur Mike Hughes meurt après le crash de sa fusée artisanale
L'Espagnol Renfe va bâtir le réseau TGV des États-Unis pour 6 milliards de dollars !
Comment l'Unreal Engine a permis de créer l'univers de The Mandalorian
La Renault ZOE est une des voitures électriques les plus vendues au monde
5G : Martin Bouygues n'exclut pas d'attaquer l'État en justice s'il ne peut pas travailler avec Huawei
Microsoft détaille les caractéristiques de sa Xbox Series X
Asus resserre les vis des dissipateurs sur les GPUs... pour mieux les refroidir
Linky : un bug à plus de 14 000 euros pour un habitant de Quimper
Huawei présente le Mate Xs : son smartphone pliant sera disponible en mars pour 2499€

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top