La faille, répertoriée sous la référence CVE-2022-28799 est désormais colmatée : Microsoft a notifié le responsable de TikTok Bytedance en février. Il n’empêche, si votre compte TikTok a été piraté autour de cette période, il est probable que des pirates soient parvenus à exploiter cette faille de sécurité.
Concrètement une faille dans le système de vérification des liens profonds dans l’application Android permettait aux pirates de générer des liens vérolés leur permettant de prendre le contrôle de n’importe quel compte dès lors que la victime cliquait dessus. Lorsque les liens profonds sont suivis hors de l’application, ils sont normalement vérifiés.
Microsoft explique comment des pirates pouvaient pirater votre compte TikTok avec un simple lien
Pour cela, TikTok vérifie leur présence dans un manifeste. L’application peut également réaliser des opérations cryptographiques pour vérifier l’authenticité d’un lien Normalement, via ce type de liens, l’application TikTok n’autorise que l’affichage de code en provenance de tiktok.com dans son navigateur intégré WebView.
Tout en interdisant le chargement de contenu en provenance d’autres domaines. Mais avec cette faille, les pirates pouvaient s’affranchir de cette limitation et accéder aux ponts sécurisés javascript pour prendre le contrôle total du compte. Voici comment Microsoft décrit la faille :
“Cette vulnérabilité autorisait de contourner la vérification des liens profonds de l’application. Les pirates pouvaient forcer l’application à charger une URL arbitraire dans le composant WebView de l’application permettant à ladite URL d’accéder aux ponts JavaScript du composant et dès lors accorder des fonctionnalités aux pirates”, expliquent les chercheurs de la firme.
Les chercheurs ont pu exploiter eux-mêmes la faille avec une démo. Il s’agissait d’envoyer un lien malicieux qui, une fois suivi, aspire les jetons d’authentification de la victime pour se connecter ensuite aux serveurs de TikTok et authentifier l’ouverture d’une session. Ils ont démontré qu’il était ainsi possible de téléverser des vidéos, et de changer la bio de la victime.
Lire aussi – TikTok – un bug permet à l’app de voir tous vos mots de passe sur iPhone
Se protéger contre ce type d’attaques peut être complexe, surtout lorsque l’on ne sait pas forcément que ce genre de stratagème est possible. Il convient cependant, comme toujours, de systématiquement se méfier des liens en provenance de contacts peu fiables.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
