Microsoft a dévoilé mercredi les détails d’une « vulnérabilité de haute gravité » désormais corrigée dans l’application TikTok pour Android qui pourrait permettre aux attaquants de prendre le contrôle des comptes lorsque les victimes cliquent sur un lien malveillant.
« Les attaquants auraient pu exploiter la vulnérabilité pour détourner un compte à l’insu des utilisateurs si un utilisateur ciblé cliquait simplement sur un lien spécialement conçu », Dimitrios Valsamaras de l’équipe de recherche Microsoft 365 Defender. a dit dans un écrit.
L’exploitation réussie de la faille aurait pu permettre à des acteurs malveillants d’accéder et de modifier les profils TikTok et les informations sensibles des utilisateurs, conduisant à l’exposition non autorisée de vidéos privées. Les attaquants pourraient également avoir abusé du bogue pour envoyer des messages et télécharger des vidéos au nom des utilisateurs.
Le problème, résolu dans la version 23.7.3, affecte deux variantes de son application Android com.ss.android.ugc.trill (pour les utilisateurs d’Asie de l’Est et du Sud-Est) et com.zhiliaoapp.musically (pour les utilisateurs d’autres pays, à l’exception de l’Inde, où c’est interdit). Combinées, les applications comptent plus de 1,5 milliard d’installations entre elles.
Suivi comme CVE-2022-28799 (score CVSS : 8,8), la vulnérabilité est liée à la gestion par l’application de ce qu’on appelle un lien profond, un lien hypertexte spécial qui permet aux applications d’ouvrir une ressource spécifique dans une autre application installée sur l’appareil plutôt que de diriger les utilisateurs vers un site Web.
« Une URL spécialement conçue (lien profond non validé) peut forcer la WebView com.zhiliaoapp.musically à charger un site Web arbitraire », selon un avis sur la faille. « Cela peut permettre à un attaquant d’exploiter une interface JavaScript attachée pour la prise de contrôle en un seul clic. »
En termes simples, la faille permet de contourner les restrictions des applications pour rejeter les hôtes non fiables et charger n’importe quel site Web du choix de l’attaquant via le système Android. WebViewun mécanisme permettant d’afficher du contenu Web sur d’autres applications.
« Le filtrage a lieu côté serveur et la décision de charger ou de rejeter une URL est basée sur la réponse reçue d’une requête HTTP GET particulière », a expliqué Valsamaras, ajoutant que l’analyse statique « indique qu’il est possible de contourner le serveur -côté vérification en ajoutant deux paramètres supplémentaires au lien profond. »
Une conséquence de cet exploit conçu pour détourner WebView pour charger des sites Web escrocs est qu’il pourrait permettre à l’adversaire d’invoquer plus de 70 points de terminaison TikTok exposés, compromettant ainsi l’intégrité du profil d’un utilisateur. Il n’y a aucune preuve que le bogue a été transformé en arme dans la nature.
« Du point de vue de la programmation, l’utilisation d’interfaces JavaScript présente des risques importants », a noté Microsoft. « Une interface JavaScript compromise peut potentiellement permettre aux attaquants d’exécuter du code en utilisant l’ID et les privilèges de l’application. »
