Image: Christoph Scholz

ByteDance, la société de technologie derrière TikTok, a corrigé une faille de sécurité dans le service de réseau social de partage de vidéo qui aurait pu permettre à des attaquants de voler les informations personnelles privées des utilisateurs.

TikTok dispose de serveurs dans les pays où ses applications iOS et Android fonctionnent et il est utilisé pour partager des vidéos mobiles en boucle de forme courte de 3 à 60 secondes.

L’application Android de la plate-forme compte plus d’un milliard d’installations selon les statistiques de Google Play Store et elle a également franchi 2 milliards de téléchargements sur toutes les plates-formes mobiles en avril 2020 selon les statistiques de Sensor Tower Store Intelligence.

Données des utilisateurs privés exposées au vol de données

La vulnérabilité de sécurité découverte par les chercheurs de Check Point dans «  Find Friends  » de TikTok a permis aux attaquants de contourner les protections de confidentialité de la plate-forme, leur permettant d’accéder aux informations personnelles privées des utilisateurs, y compris, mais sans s’y limiter, les numéros de téléphone et les identifiants d’utilisateur.

« Les détails du profil qui étaient accessibles via la vulnérabilité incluent le numéro de téléphone, le surnom, les photos de profil et d’avatar, les identifiants d’utilisateur uniques, ainsi que certains paramètres de profil, comme si un utilisateur est un abonné ou si le profil de l’utilisateur est masqué », indique Check Point .

Les informations utilisateur exfiltrées et collectées lors d’attaques qui auraient exploité cette vulnérabilité TikTok pourraient ultérieurement être utilisées pour lancer des attaques de spearphishing et pour d’autres types d’activités malveillantes.

Pour exploiter ce bogue et contourner les défenses de confidentialité de TikTok, les attaquants devraient:

  1. Créez une liste de périphériques (ID de périphérique) qui seront utilisés pour interroger les serveurs de TikTok.
  2. Créez une liste de jetons de session (chaque jeton de session est valide pendant 60 jours) qui seront utilisés pour interroger les serveurs de TikTok.
  3. Contournez le mécanisme de signature de message HTTP de TikTok à l’aide de son propre service de signature, exécuté en arrière-plan.
  4. Enchaînez le tout en modifiant les requêtes HTTP, résignez-les et utilisez …

Voir la source de cette publication