Faille De Sécurité Tiktok

Des chercheurs en cybersécurité ont révélé mardi une faille de sécurité désormais corrigée dans TikTok qui aurait pu potentiellement permettre à un attaquant de créer une base de données des utilisateurs de l’application et de leurs numéros de téléphone associés pour de futures activités malveillantes.

Bien que cette faille n’affecte que les utilisateurs qui ont lié un numéro de téléphone à leur compte ou qui se sont connectés avec un numéro de téléphone, l’exploitation réussie de la vulnérabilité aurait pu entraîner une fuite de données et une violation de la vie privée, a déclaré Check Point Research dans un une analyse partagé avec The Hacker News.

TikTok a déployé un correctif pour remédier à la lacune suite à une divulgation responsable des chercheurs de Check Point.

Auditeur De Mot De Passe

Le bogue nouvellement découvert réside dans TikTok « Retrouver des amis« fonctionnalité qui permet aux utilisateurs de synchroniser leurs contacts avec le service pour identifier les personnes potentielles à suivre.

Les contacts sont téléchargés sur TikTok via une requête HTTP sous la forme d’une liste composée de noms de contacts hachés et des numéros de téléphone correspondants.

Publicité

L’application, à l’étape suivante, envoie une deuxième requête HTTP qui récupère les profils TikTok connectés aux numéros de téléphone envoyés dans la requête précédente. Cette réponse comprend les noms de profil, les numéros de téléphone, les photos et d’autres informations relatives au profil.

Faille De Sécurité Tiktok

Alors que les demandes de contact de téléchargement et de synchronisation sont limitées à 500 contacts par jour, par utilisateur et par appareil, les chercheurs de Check Point ont trouvé un moyen de contourner la limitation en obtenant l’identifiant de l’appareil, les cookies de session définis par le serveur, un jeton appelé « X-Tt-Token » qui est défini lors de la connexion au compte avec SMS et simule l’ensemble du processus à partir d’un émulateur exécutant Android 6.0.1.

Il convient de noter que pour demander des données au serveur d’application TikTok, les requêtes HTTP doivent inclure les en-têtes X-Gorgon et X-Khronos pour la vérification du serveur, ce qui garantit que les messages ne sont pas falsifiés.

Mais en modifiant les requêtes HTTP – le nombre de contacts que l’attaquant veut synchroniser – et en les re-signant avec une signature de message mise à jour, la faille a permis d’automatiser la procédure de téléchargement et de synchronisation des contacts à grande échelle et de créer une base de données des comptes liés et de leurs numéros de téléphone connectés.

C’est loin d’être la première fois que l’application populaire de partage de vidéos présente des faiblesses de sécurité.

En janvier 2020, les chercheurs de Check Point découvert plusieurs vulnérabilités au sein de l’application TikTok qui auraient pu être exploitées pour mettre la main sur des comptes d’utilisateurs et manipuler leur contenu, y compris la suppression de vidéos, le téléchargement de vidéos non autorisées, la publication de vidéos privées «cachées» et la révélation d’informations personnelles enregistrées sur le compte.

Puis en avril, les chercheurs en sécurité Talal Haj Bakry et Tommy Mysk exposé failles dans TikTok qui permettaient aux attaquants d’afficher des vidéos falsifiées, y compris celles de comptes vérifiés, en redirigeant l’application vers un faux serveur hébergeant une collection de fausses vidéos.

Finalement, TikTok a lancé un partenariat bug bounty avec HackerOne en octobre dernier pour aider les utilisateurs ou les professionnels de la sécurité à signaler les problèmes techniques liés à la plateforme. Les vulnérabilités critiques (score CVSS de 9 à 10) sont éligibles à des paiements compris entre 6 900 $ et 14 800 $, selon le programme.

«Notre principale motivation, cette fois-ci, était d’explorer la confidentialité de TikTok», a déclaré Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point. « Nous étions curieux de savoir si la plate-forme TikTok pouvait être utilisée pour obtenir des données d’utilisateurs privés. Il s’avère que la réponse était oui, car nous avons pu contourner plusieurs mécanismes de protection de TikTok qui conduisent à une violation de la vie privée. »

« Un attaquant disposant de ce degré d’informations sensibles pourrait effectuer une gamme d’activités malveillantes, telles que le harponnage ou d’autres actions criminelles. »


Rate this post
Publicité
Article précédentOpinion | Le mouvement des syndicats montants sur Amazon, Google et Twitter
Article suivantMcLaren a trouvé la cause de son problème de vent
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici