Les chercheurs en cybersécurité d’Imperva ont découvert une faille dans l’application de médias sociaux populaire TikTok qui aurait pu permettre aux acteurs de la menace d’exfiltrer des données sensibles des appareils des victimes pour les utiliser dans des attaques d’usurpation d’identité, de phishing ou de chantage.
La vulnérabilité, qui a depuis été corrigée, a été trouvée dans la façon dont l’application gérait les messages entrants. Expliquant la méthode, les chercheurs ont déclaré que les attaquants pourraient envoyer un message malveillant à l’application Web TikTok via l’API PostMessage, qui passerait outre toutes les mesures de sécurité.
Le gestionnaire d’événements de message traiterait alors le message et le jugerait sécurisé, accordant à l’attaquant l’accès aux informations précieuses.
Détails du compte utilisateur
En exploitant la vulnérabilité, les attaquants pourraient accéder à un trésor de données précieuses, telles que les données de l’appareil de l’utilisateur (type d’appareil, système d’exploitation, navigateur utilisé, etc.), les vidéos visionnées (quelles vidéos la victime a visionnées), le temps passé sur chaque vidéo, les données du compte utilisateur (noms d’utilisateur, vidéos, autres détails du compte), les requêtes de recherche (ce que l’utilisateur a recherché sur la plateforme).
Même sans les vulnérabilités, TikTok est une application controversée, c’est un euphémisme. Il a été construit par une société chinoise appelée ByteDance et compte plus de 1,5 milliard d’utilisateurs (plus de 150 millions rien qu’aux États-Unis).
Récemment, le gouvernement américain a commencé à surveiller et à interdire les entreprises chinoises, affirmant que leur gouvernement les contrôlait étroitement et pourrait les forcer à autoriser à tout moment un accès par porte dérobée non autorisé.
Huawei a été interdit de développer l’infrastructure 5G aux États-Unis, pour cette raison même. Quant à TikTok, le gouvernement américain a d’abord forcé l’entreprise à stocker toutes les données dans le pays, puis a récemment demandé à ses employés de supprimer l’application des appareils émis par le gouvernement, invoquant des questions de sécurité nationale.
TikTok, tout comme de nombreuses autres entreprises chinoises, nie toute implication dans des actes répréhensibles.