Microsoft

Microsoft a dévoilé mercredi les détails d’une « vulnérabilité de haute gravité » désormais corrigée dans l’application TikTok pour Android qui pourrait permettre aux attaquants de prendre le contrôle des comptes lorsque les victimes cliquent sur un lien malveillant.

« Les attaquants auraient pu exploiter la vulnérabilité pour détourner un compte à l’insu des utilisateurs si un utilisateur ciblé cliquait simplement sur un lien spécialement conçu », Dimitrios Valsamaras de l’équipe de recherche Microsoft 365 Defender. a dit dans un écrit.

L’exploitation réussie de la faille aurait pu permettre à des acteurs malveillants d’accéder et de modifier les profils TikTok et les informations sensibles des utilisateurs, conduisant à l’exposition non autorisée de vidéos privées. Les attaquants pourraient également avoir abusé du bogue pour envoyer des messages et télécharger des vidéos au nom des utilisateurs.

La Cyber-Sécurité

Le problème, résolu dans la version 23.7.3, affecte deux variantes de son application Android com.ss.android.ugc.trill (pour les utilisateurs d’Asie de l’Est et du Sud-Est) et com.zhiliaoapp.musically (pour les utilisateurs d’autres pays, à l’exception de l’Inde, où c’est interdit). Combinées, les applications comptent plus de 1,5 milliard d’installations entre elles.

Application Android Tiktok

Suivi comme CVE-2022-28799 (score CVSS : 8,8), la vulnérabilité est liée à la gestion par l’application de ce qu’on appelle un lien profond, un lien hypertexte spécial qui permet aux applications d’ouvrir une ressource spécifique dans une autre application installée sur l’appareil plutôt que de diriger les utilisateurs vers un site Web.

Publicité

« Une URL spécialement conçue (lien profond non validé) peut forcer la WebView com.zhiliaoapp.musically à charger un site Web arbitraire », selon un avis sur la faille. « Cela peut permettre à un attaquant d’exploiter une interface JavaScript attachée pour la prise de contrôle en un seul clic. »

Application Android Tiktok

En termes simples, la faille permet de contourner les restrictions des applications pour rejeter les hôtes non fiables et charger n’importe quel site Web du choix de l’attaquant via le système Android. WebViewun mécanisme permettant d’afficher du contenu Web sur d’autres applications.

La Cyber-Sécurité

« Le filtrage a lieu côté serveur et la décision de charger ou de rejeter une URL est basée sur la réponse reçue d’une requête HTTP GET particulière », a expliqué Valsamaras, ajoutant que l’analyse statique « indique qu’il est possible de contourner le serveur -côté vérification en ajoutant deux paramètres supplémentaires au lien profond. »

Une conséquence de cet exploit conçu pour détourner WebView pour charger des sites Web escrocs est qu’il pourrait permettre à l’adversaire d’invoquer plus de 70 points de terminaison TikTok exposés, compromettant ainsi l’intégrité du profil d’un utilisateur. Il n’y a aucune preuve que le bogue a été transformé en arme dans la nature.

« Du point de vue de la programmation, l’utilisation d’interfaces JavaScript présente des risques importants », a noté Microsoft. « Une interface JavaScript compromise peut potentiellement permettre aux attaquants d’exécuter du code en utilisant l’ID et les privilèges de l’application. »


Rate this post
Publicité
Article précédentLe premier moniteur de jeu OLED de Samsung devrait être lancé plus tard cette année
Article suivantLa mort de Chris Benoit, le lutteur qui a tué sa famille
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici