Getty Images
Microsoft a déclaré mercredi avoir récemment identifié une vulnérabilité dans l’application Android de TikTok qui pourrait permettre aux attaquants de détourner des comptes lorsque les utilisateurs ne font rien de plus que de cliquer sur un seul lien erroné. Le fabricant de logiciels a déclaré avoir informé TikTok de la vulnérabilité en février et que la société de médias sociaux basée en Chine a depuis corrigé la faille, qui est identifiée comme CVE-2022-28799.
La vulnérabilité réside dans la façon dont l’application recherche ce que l’on appelle des liens profonds, qui sont des hyperliens spécifiques à Android permettant d’accéder à des composants individuels au sein d’une application mobile. Les liens profonds doivent être déclarés dans le manifeste de l’application pour une utilisation en dehors de l’application, ainsi, par exemple, une personne qui clique sur un lien TikTok dans le navigateur voit le contenu automatiquement ouvert dans l’application TikTok.
L’application peut également annoncer de manière cryptée la validité d’un domaine d’URL. TikTok sur Android, par exemple, annonce le domaine m.tiktok.com. Normalement, TikTok autorisera le chargement du contenu de tiktok.com dans son composant WebView mais empêchera WebView de charger le contenu d’autres domaines.
« La vulnérabilité a permis de contourner la vérification des liens profonds de l’application », ont écrit les chercheurs. « Les attaquants peuvent forcer l’application à charger une URL aléatoire dans la WebView de l’application, ce qui permet ensuite à l’URL d’accéder aux ponts JavaScript attachés à la WebView et d’accorder des fonctionnalités aux attaquants. »
Les chercheurs ont continué à créer un exploit de preuve de concept qui faisait exactement cela. Il s’agissait d’envoyer un lien malveillant à un utilisateur TikTok ciblé, qui, une fois cliqué, obtenait les codes d’authentification dont les serveurs TikTok ont besoin pour que les utilisateurs vérifient la propriété de leur compte. L’éditeur de liens PoC a également modifié la biographie du profil de l’utilisateur cible pour afficher le texte « !! SECURITY BREACH !! »
Une fois que le lien malveillant conçu spécifiquement pour l’attaquant est cliqué par l’utilisateur TikTok ciblé, le serveur de l’attaquant, https://www.attaquant[.]com/poc, a un accès complet au pont JavaScript et peut appeler n’importe quelle fonction exposée », ont écrit les chercheurs. Le serveur de l’attaquant renvoie une page HTML contenant du code JavaScript pour envoyer les codes de téléchargement de la vidéo à l’attaquant ainsi que pour modifier une biographie. »
Microsoft a déclaré qu’il n’avait aucune preuve que la vulnérabilité était activement exploitée dans la nature.
« Amateur de musique. Joueur. Alcooliste. Lecteur professionnel. Spécialiste du Web. »