Microsoft a trouvé un vulnérabilité de haute gravité dans l’application Android TikTok, qui aurait soumis les comptes des utilisateurs à la sensibilité d’un simple clic. Microsoft a contacté Tiktok pour signaler le problème qui a depuis été corrigé.
Microsoft a découvert une vulnérabilité de haute gravité dans l’application Android TikTok qui aurait pu permettre à des attaquants de compromettre des comptes en un seul clic. En savoir plus sur CVE-2022-28799, qui est maintenant corrigé, via notre dernier article de blog : https://t.co/0PaWJ5cFYj
– Intelligence de sécurité Microsoft (@MsftSecIntel) 31 août 2022
Grâce à cette faille, les attaquants auraient pu compromettre le compte de tous les utilisateurs de Tiktok fonctionnant sur Android version 23.7.3 et inférieure à leur insu. En cliquant sur ce lien malveillant, les attaquants obtiendraient un accès principal au compte de l’utilisateur, leur permettant ainsi d’apporter des modifications et même de publier du contenu sur la plateforme. Une fois compromise, la bio Tiktok de l’utilisateur serait alors changée en « SECURITY BREACHED ».
Microsoft a mené une évaluation pour mesurer l’impact de ce revers et a constaté que les deux versions de Tiktok sur Android étaient affectées, à savoir celle qui dessert l’Asie de l’Est et du Sud-Est et l’autre qui dessert le reste du monde. Cela se traduit par plus de 1,5 milliard d’installations combinées.
Selon le article de blog:
La vulnérabilité elle-même s’est finalement avérée résider dans la gestion par l’application d’un lien profond particulier. Dans le contexte du système d’exploitation Android, un lien profond est un lien hypertexte spécial qui renvoie à un composant spécifique dans une application mobile et se compose d’un schéma et (généralement) d’une partie hôte. Lorsqu’un lien profond est cliqué, le gestionnaire de packages Android interroge toutes les applications installées pour voir laquelle peut gérer le lien profond, puis le route vers le composant déclaré comme son gestionnaire.
La gestion des liens profonds comporte un processus de vérification qui ajoute essentiellement une couche de sécurité qui limite les activités que l’on peut effectuer lorsqu’une application se charge sur un lien donné. Cependant, les attaquants ont trouvé un moyen de contourner le processus de vérification et de pouvoir accéder à l’application. Ils pourraient alors accéder à un jeton d’authentification lié au compte de l’utilisateur.