Une vulnérabilité vient d’être révélée dans l’application TikTok pour Android, ainsi que TikTok sur le Web, ce qui a permis de contourner relativement facilement l’authentification à deux facteurs.

Découvert par Lu3ky-13 sur Hacker One, l’application Android de TikTok présentait une faille de sécurité béante qui permettait aux utilisateurs de contourner l’authentification à deux facteurs sans outils ni méthodes spéciaux. La vulnérabilité force simplement brutalement la page de connexion, se connectant à plusieurs reprises jusqu’à ce que, finalement, la page d’authentification à deux facteurs soit ignorée et que TikTok permette une connexion réussie au compte.

TikTok a résumé le problème :

Une vulnérabilité a été trouvée dans laquelle un problème de délai d’attente aléatoire sur un point de terminaison de vérification en deux étapes aurait pu entraîner un contournement potentiel de l’authentification si plusieurs tentatives incorrectes avaient été saisies en succession rapide. Il a été constaté que cette vulnérabilité nécessitait l’accès à l’e-mail/mot de passe ou au numéro de téléphone/code de l’utilisateur associé au compte et que plusieurs tentatives de contournement seraient nécessaires.

La vulnérabilité a été signalée pour la première fois à TikTok en octobre 2022 et a été corrigée à la mi-décembre 2022 et n’est plus active.

Bien sûr, cette vulnérabilité dans TikTok suppose qu’une partie malveillante dispose de votre nom d’utilisateur et de votre mot de passe corrects. Bien que cela ait été corrigé, c’est un bon rappel de suivre la sécurité des mots de passe, en particulier avec les récentes failles de sécurité telles que comme le hack LastPass dans la mémoire récente.

Vous pouvez voir la vulnérabilité en action ci-dessous.

Plus sur Androïd :