TIC Tac a corrigé quatre bogues de sécurité dans son application Android qui auraient pu conduire au détournement de comptes d’utilisateurs.

Les vulnérabilités, découvertes par le démarrage de la sécurité de l’application sur-sécurisé, auraient pu permettre à une application malveillante sur le même appareil de voler des fichiers sensibles, tels que des jetons de session, à l’intérieur de l’application TikTok. Les jetons de session sont de petits fichiers qui permettent à l’utilisateur de rester connecté sans avoir à ressaisir ses mots de passe. Mais s’ils sont volés, ces jetons peuvent donner à un attaquant l’accès au compte d’un utilisateur sans avoir besoin de son mot de passe.

L’application malveillante devrait exploiter les vulnérabilités pour injecter un fichier malveillant dans l’application vulnérable TikTok. Une fois que l’utilisateur ouvre l’application, le fichier malveillant est déclenché, permettant à l’application malveillante d’accéder et d’envoyer des jetons de session volés au serveur de l’attaquant en silence en arrière-plan.

Sergey Toshin, fondateur d’Oversecured, a déclaré à TechCrunch que l’application malveillante pourrait également détourner les autorisations de l’application de TikTok, lui permettant d’accéder à Android. l’appareil photo, le microphone et les données privées de l’appareil, comme les photos et les vidéos.

TikTok a déclaré avoir corrigé les bogues plus tôt cette année après que Oversecured eut signalé les vulnérabilités.

«Dans le cadre de nos efforts continus pour créer la plate-forme la plus sûre et la plus sécurisée du secteur, nous travaillons constamment avec des tiers pour trouver et corriger les bogues», a déclaré la porte-parole de TikTok, Hilary McQuaide. «Alors que les bogues en question ne poseraient un risque que si un utilisateur avait également téléchargé une application malveillante sur son appareil Android, nous les avons corrigés. Nous apprécions le chercheur qui nous ait signalé ce problème afin que nous puissions le résoudre, et nous encourageons tous nos utilisateurs à télécharger la dernière version de l’application. « 

Infos WEB:  Les téléphones Android deviennent des détecteurs de tremblement de terre - infos

La nouvelle des bogues arrive quelques jours avant qu’une interdiction anticipée de TikTok ne prenne effet. L’administration Trump a déclaré que l’application de partage de vidéos constituait une menace pour la sécurité nationale plus tôt cette année en raison de ses liens avec la Chine.

ByteDance, la société mère de TikTok, basée à Pékin, a nié le …

Voir la source de cette publication