Ne paniquez pas, c’est résolu depuis longtemps maintenant, mais les utilisateurs d’Android devraient vraiment réfléchir à deux fois avant de cliquer sur des liens dans l’application TikTok après la découverte de failles de sécurité qui ont rendu ridiculement facile le vol d’autres comptes avec un simple lien. Bien que cela ait été résolu pour le moment, il est toujours bon de ne pas cliquer sur des liens inconnus. Et avec un exploit aussi simple, c’est un bon rappel d’être toujours vigilant là-bas.
Selon BleepingComputer, (s’ouvre dans un nouvel onglet) Microsoft a signalé la faille à TikTok en février mais, compte tenu de la gravité potentielle, il n’est pas trop surprenant que nous n’en entendions pas parler jusqu’à présent. Avec un lien malveillant bien conçu, plus de 70 méthodes JavaScript pourraient être utilisées pour accéder à la vue Web de l’application, uniquement utilisée par l’application Android.
À partir de là, ceux qui ont une intention malveillante peuvent faire toutes sortes de ravages sur le compte des utilisateurs. Ils peuvent modifier et afficher pratiquement toutes les données, y compris les paramètres de profil et les vidéos privées. En raison de la possibilité d’effectuer des demandes authentifiées via la vue Web, il n’est en aucun cas exagéré de dire qu’ils pourraient complètement prendre en charge le compte.
« Les attaquants auraient pu exploiter la vulnérabilité pour détourner un compte à l’insu des utilisateurs si un utilisateur ciblé cliquait simplement sur un lien spécialement conçu », a déclaré l’équipe de recherche Microsoft 365 Defender. (s’ouvre dans un nouvel onglet)a déclaré Dimitrios Valsamaras, ajoutant: « Les attaquants auraient alors pu accéder et modifier les profils TikTok et les informations sensibles des utilisateurs, par exemple en publiant des vidéos privées, en envoyant des messages et en téléchargeant des vidéos au nom des utilisateurs. »
Astuces et conseils
Comment acheter une carte graphique (s’ouvre dans un nouvel onglet): conseils sur l’achat d’une carte graphique dans le paysage stérile du silicium en 2021
La nouvelle surprenante, mais bonne, c’est qu’il semble que la faille ne semble pas avoir été réellement exploitée lorsqu’elle était active, c’est exactement pourquoi elle a probablement été gardée secrète jusqu’à ce qu’elle soit corrigée. Et il semble que TikTok ait résolu le problème, entre deux tentatives pour entrer dans les jeux (s’ouvre dans un nouvel onglet).
Les enquêtes de Microsoft n’ont trouvé aucune preuve d’une attaque utilisant les exploits de lien, alors j’espère qu’elle n’a pas été découverte par de mauvais acteurs à l’époque. Bien que compte tenu du jeune public de TikTok, il se pourrait que ne pas cliquer sur des liens bizarres en ligne soit finalement devenu du bon sens.
TikTok, comme toutes les applications, n’est en aucun cas un exemple parfait de sécurité et il est toujours sage de garder l’esprit ouvert sur Internet. Continuez à ne pas cliquer sur ces liens pendant que vous appréciez votre danse folle, vos émeus en colère et vos huskies chantant avec des saxophones (s’ouvre dans un nouvel onglet).