La vulnérabilité de TikTok aurait pu permettre aux pirates d'accéder aux vidéos des utilisateurs

La firme de recherche en cybersécurité Check Point Research a déclaré avoir trouvé «de multiples vulnérabilités» dans l'application de partage de vidéos TikTok, qui a démontré son insécurité alors que l'examen de la société chinoise continue de croître.

Check Point a constaté qu'il était possible d'usurper des messages texte pour qu'ils semblent provenir de TikTok. Une fois qu'un utilisateur a cliqué sur le faux lien, un pirate aurait pu accéder à des parties de son compte TikTok, y compris le téléchargement et la suppression de vidéos et la modification des paramètres des vidéos existantes du public au privé.

Check Point a également constaté que l'infrastructure de TikTok aurait permis à un pirate de rediriger un utilisateur piraté vers un site Web malveillant qui ressemblait à la page d'accueil de TikTok. Cela aurait pu être combiné avec des scripts intersites et d'autres attaques contre le compte de l'utilisateur.

L'envoi de liens et d'autres informations sécurisées par SMS est un problème de sécurité bien connu et une méthode préférée des cybercriminels qui souhaitent accéder aux téléphones des utilisateurs. En 2014, le bureau du Commissaire à l'information du Royaume-Uni a infligé une amende de plus de 100 000 $ à un organisateur de concerts pour avoir envoyé des messages texte usurpés à des spectateurs qui semblaient provenir de leur mère. Amnesty International a documenté en 2018 comment les pirates pouvaient contourner les protections d'authentification à deux facteurs de Gmail et de Yahoo en interceptant les codes de confirmation 2FA par SMS.

Check Point a déclaré avoir informé la société mère de TikTok des failles de sécurité en novembre, et l'application a depuis corrigé le problème.

«TikTok s'engage à protéger les données des utilisateurs. Comme de nombreuses organisations, nous encourageons les chercheurs en sécurité responsables à nous divulguer en privé les vulnérabilités zero day », a déclaré Luke Deshotels, membre de l'équipe de sécurité de TikTok, dans un communiqué. «Avant la divulgation publique, Check Point a convenu que tous les problèmes signalés avaient été corrigés dans la dernière version de notre application. Nous espérons que cette résolution réussie encouragera une future collaboration avec les chercheurs en sécurité. »

Oded Vanunu, chercheur principal sur le rapport de Check Point, a déclaré qu'une application comme TikTok – qui représente près de 1,5 milliard d'utilisateurs mondiaux en seulement deux ans et demi depuis son lancement en dehors de la Chine – est une cible mûre pour les pirates en raison de la quantité de données et des informations potentiellement privées transférées. Étant donné que des applications comme TikTok peuvent être utilisées sur plusieurs plates-formes, il est plus facile pour un acteur malveillant d'augmenter rapidement son activité, a-t-il déclaré.

"Nous constatons d'énormes quantités d'activités malveillantes sur la messagerie instantanée et les réseaux sociaux", a déclaré Vanunu dans une interview à Le bord. «Ce que nous essayons de faire en sorte que les gens comprennent, c'est que le cyberespace ne commence pas et ne se termine pas uniquement sur une plate-forme sophistiquée, mais que si vous êtes dans le cyberespace, même pour les activités quotidiennes, vos données et la vie privée sont en danger. "

Et ce ne sont pas seulement les applications plus récentes comme TikTok qui sont vulnérables aux attaques, a ajouté Vanunu. "Même pour les applications vétérans, ils ne sont pas plus ou moins vulnérables, mais il y a potentiellement beaucoup plus de possibilités car ils ont autant d'utilisateurs", a-t-il déclaré.

TikTok appartient à la société chinoise ByteDance. La commission de l'investissement étranger aux États-Unis a déclaré que l'application pourrait poser des problèmes de sécurité nationale aux Américains et pourrait être utilisée pour les influencer ou les surveiller. L'armée américaine a interdit aux soldats d'utiliser l'application TikTok sur les téléphones appartenant au gouvernement, la qualifiant de cybermenace.

Vanunu a déclaré que les recherches de Check Point n'avaient pas permis de déterminer si TikTok posait des problèmes de sécurité nationale spécifiques, mais qu'il n'était pas difficile de tirer certaines conclusions sur la base de ce qu'il avait trouvé. "Vous pouvez relier les points sur ce qui pourrait être les implications pour la cyber-guerre géopolitique", a-t-il déclaré.

Traduit de la source : https://www.theverge.com/2020/1/8/21050589/tiktok-patched-vulnerability-hackers-videos-china-bytedance-checkpoint

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.