TikTok : cette faille de sécurité permettait de publier des vidéos à la place de la victime

C'est corrigé !

 

TikTok souffrait d'une faille de sécurité permettant à des hackers mal intentionnés d'accéder, relativement facilement, au gestionnaire de vidéos de leurs victimes pour publier des vidéos à leur place ou à changer leur statut de privées à publiques.

TikTok regroupe des millions d’utilisateurs eux-mêmes suivis par des centaines de milliers de spectateurs. Le principe de ce réseau social est entièrement basé sur le partage de vidéos. Autant dire que l’image que l’on renvoie aux autres y semble primordiale. Or, c’est justement cette image qu’une faille de sécurité découverte sur l’application mettait en danger.

Les équipes de Check Point Research ont en effet indiqué qu’il était possible de leurrer relativement facilement une victime dans le but d’accéder à son gestionnaire de vidéos sur TikTok. Un hacker mal intentionné pouvait ainsi accéder à une partie du compte de l’utilisateur pour publier des vidéos à sa place, en supprimer ou changer leur statut de privées à publiques. Il pouvait aussi révéler des informations personnelles telles que l’adresse email.

Contacté par Check Point Research, Tik Tok a déployé un correctif « pour s’assurer que ses utilisateurs puissent continuer à utiliser l’application TikTok en sécurité ».

Des faux SMS

Les équipes de Check Point Research se sont rendu compte que cette faille pouvait être exploitée après avoir envoyé un faux SMS aux utilisateurs. Les chercheurs ont en effet exploité l’option permettant aux utilisateurs de TikTok à s’envoyer un message à eux-mêmes — pour recevoir un code de confirmation en cas d’oubli de mots de passe par exemple.

En détournant cette fonctionnalité de son usage normal, les chercheurs ont pu insérer un lien de téléchargement piraté faisant passer le message pour une communication officielle de la plateforme.

En cliquant sur ledit lien, la victime se retrouvait sur une interface semblable à celle de la vraie application TikTok. En y entrant ses identifiants, elle donnait au hacker un accès à la gestion de ses vidéos.

Problème corrigé

Dans un communiqué cité par The Verge, un porte-parole du réseau social explique que le souci a été corrigé et remercie Check Point Research pour sa collaboration.

Avant la divulgation publique[de la faille], Check Point a confirmé que tous les problèmes signalés étaient corrigés dans la dernière version de notre application. Nous espérons que cette résolution réussie encouragera la collaboration future avec les chercheurs en sécurité.

Rappelons qu’en termes de sécurité, TikTok est aussi dans le collimateur des autorités américaines qui soupçonne la Chine de récupérer des données.


Retrouvez un résumé du meilleur de l’actu tech tous les matins sur WhatsApp, c’est notre nouveau canal de discussion Frandroid que vous pouvez rejoindre dès maintenant !