Une vulnérabilité hautement critique a été repérée au sein de l’application Android TikTok et elle permettrait de récupérer plusieurs comptes utilisateurs "en un seul clic".
Celle-ci est mise en lumière dans un rapport publié sur le blog de Microsoft Security. Selon les experts ayant découvert la faille de sécurité, une chaîne de points faibles propres à l’application Android aurait pu être exploitée pour détourner un ou plusieurs comptes TikTok, en incitant ses propriétaires à cliquer sur un lien détourné.
"Les cybercriminels auraient alors pu accéder aux profils TikTok ciblés, modifier leurs identifiants, puis rendre publiques des vidéos privées, envoyer des messages en leur nom et partager des vidéos non désirées sur leur profil", explique Microsoft.
Sitôt dévoilée, sitôt corrigée
La vulnérabilité en question est apparue sur toutes les versions du client Android de TikTok, qui ont été installées collectivement plus de 1,5 milliard de fois.
Le problème concerne l'implémentation d'interfaces JavaScript dans l'application, qui sont largement utilisées dans la version Android de TikTok. En exploitant le traitement des interfaces JavaScript de l'application, mais aussi le processus d’acheminement d’un lien profond sous Android, un pirate informatique est capable de d’implémenter un lien malveillant et de récupérer des jetons d’authentification… après que les utilisateurs ciblés aient cliqué dessus.
Fort heureusement, les chercheurs de Microsoft n'ont découvert aucune trace d’un quelconque usage de cette vulnérabilité jusqu’à ce jour. La faille de sécurité a depuis été signalée à ByteDance, propriétaire de la plateforme, puis corrigée. Microsoft a même tenu à féliciter l'équipe de sécurité de TikTok pour sa réactivité.
"Ce cas montre à quel point la capacité à coordonner investigation et partage des renseignements sur les menaces informatiques, par le biais d'une collaboration entre experts et entre secteurs, est nécessaire. Ce pour résoudre rapidement et efficacement toute brèche", a déclaré Dimitrios Valsamaras, de l'équipe de recherche Microsoft 365 Defender.
"Comme les menaces sur les plateformes continuent de croître en nombre et en sophistication, l’identification de vulnérabilités, la réponse coordonnée et d'autres formes de stratégies collaboratives sont nécessaires pour aider à sécuriser l'expérience utilisateur, quelle que soit la plateforme ou le support informatique ciblés."
Bien que la majorité des utilisateurs de TikTok aient déjà reçu automatiquement le correctif, les membres les plus prudents peuvent s'assurer qu'ils sont protégés en mettant à jour leur application avec la dernière version.
