Révélée par une équipe de recherche de Microsoft, la vulnérabilité a depuis été corrigée par le réseau social.
Un potentiel danger pour des millions d’utilisateurs de TikTok. Le 31 août, une équipe de recherche de Microsoft a révélé, dans un billet de blog, qu’une vulnérabilité dans l’application du réseau social pour Android aurait pu permettre à des hackers de prendre le contrôle du compte d’un utilisateur ayant cliqué sur un lien malveillant. Qualifiée de « haute gravité » par les chercheurs, elle concernait les deux versions de l’application TikTok pour Android, représentant plus de 1,5 milliard de téléchargements sur le Google Play Store.
Signalée au réseau social en février, la faille a depuis été corrigée et l’équipe de recherche affirme n’avoir trouvé aucune preuve de son exploitation. Une fois exploitée, elle aurait permis à des pirates d’accéder et de modifier les profils TikTok ainsi que les informations sensibles des utilisateurs, en envoyant des messages ou en publiant des vidéos à leurs noms par exemple.
Un danger évité
Dans le détail, la vulnérabilité concernait la fonctionnalité de liens profonds dans l’application. Sur Android, des développeurs ont la possibilité de programmer leurs applications pour gérer certains liens de manière spécifique, comme le fait que Twitter s’ouvre sur le téléphone d’une personne après un clic sur un lien intégré dans une page web.
Elle inclut également un processus de vérification pour limiter les actions effectuées quand une application charge un lien. Les chercheurs ont cependant trouvé un moyen de le contourner et d’exécuter certaines fonctions dans l’application TikTok, ce que des hackers auraient aussi pu faire. Ils sont, par exemple, parvenus à récupérer un jeton d’authentification d’un utilisateur, ce qui a leur permis d’accéder à un compte sans saisir un mot de passe. Ils l’ont démontré avec une attaque de preuve de concept, lors de laquelle ils ont créé un lien spécialement conçu à un utilisateur TikTok ciblé. Une fois que ce dernier a cliqué sur le lien, les jetons d’authentification leur ont été renvoyés, aboutissant au changement de la biographie du compte pour lire « VIOLATION DE SÉCURITÉ ».
Si la faille a été corrigée, les révélations des chercheurs interviennent alors que TikTok fait l’objet de craintes par rapport aux données des utilisateurs qui sont accessibles en Chine. Début août, le Parlement britannique a décidé de supprimer son compte moins d’une semaine après son ouverture pour ce motif. Aux États-Unis, Apple et Google ont aussi été appelés à bannir TikTok de leurs magasins d’applications pour la même raison.
À lire aussi
