Microsoft a signalé une vulnérabilité de haute gravité dans l'application Android TikTok, qui aurait pu permettre aux attaquants d'accéder à des comptes en un seul clic.
L’application Android TikTok présentait un grave problème de sécurité, et c’est Microsoft qui l’a signalé. La société a récemment détaillé ses conclusions à l'intention de la communauté de la cybersécurité, indiquant que la vulnérabilité de haute gravité aurait pu permettre aux attaquants de compromettre des comptes en un seul clic. TikTok a également été informé du problème par Microsoft, et celui-ci a depuis été corrigé.
Cette vulnérabilité spécifique a impacté TikTok sur Android version 23.7.3 et inférieure, a nécessité l'enchaînement de plusieurs problèmes pour être exploitée et n'a pas été utilisée dans la nature, selon Microsoft. Cela signifie que personne n’est susceptible d’en avoir été affecté. Il existe en fait deux versions de TikTok sur Android, une pour l’Asie de l’Est et du Sud-Est et une autre pour le reste du monde. Microsoft a effectué une évaluation de la vulnérabilité et a constaté que les deux étaient concernés, ce qui signifie que la vulnérabilité a touché un total de 1,5 milliard d'installations.
Cependant, avec cette vulnérabilité, les pirates auraient pu détourner un compte TikTok basé sur Android sans que l'utilisateur sache s'il avait cliqué sur un seul lien. L'attaquant aurait pu accéder au profil TikTok compromis, lui permettant de voir des vidéos privées, d'envoyer des messages ou de télécharger des vidéos.
Alors, quels sont les détails sur la façon dont cette vulnérabilité aurait pu être utilisée par un attaquant? Eh bien, selon Microsoft, l'application TikTok Android permettait de contourner la vérification des liens profonds de l'application. Un attaquant aurait pu forcer l'application à charger une URL vers la WebView de l'application. Cela aurait alors permis à la page de cette URL d'accéder aux ponts JavaScript de WebView pour offrir à un pirate informatique plus de fonctionnalités et 70 façons d'accéder rapidement aux informations d'un utilisateur. L'attaquant aurait également pu récupérer les jetons d'authentification de l'utilisateur en déclenchant une requête vers un serveur contrôlé et en enregistrant le cookie et les en-têtes de requête.
Microsoft a écrit sur ce problème de ponts très JavaScript dans le passé, et une entrée CVE est disponible pour plus de détails sur cette vulnérabilité TikTok. La société a signalé le problème via la divulgation coordonnée de vulnérabilités (CVD) via Microsoft Security Vulnerability Research (MSVR) en février 2022, et il a été corrigé par TikTok un mois après la divulgation. Microsoft estime que cette situation montre à quel point il est important de coordonner la recherche et les renseignements sur les menaces dans le secteur technologique.
Source: Microsoft