Microsoft a découvert une faille critique dans l’application TikTok. Si des acteurs malveillants abusaient de cette vulnérabilité, cela leur permettrait de prendre le contrôle d’un compte. Et ce, en un seul clic !
Une vulnérabilité WebView Hijacking dans l’application TikTok
Les experts décrivent cette faille comme étant une vulnérabilité WebView Hijacking (détournement de WebView) dans l’application TikTok. Dans cette dernière, le WebView désigne une extension de la classe View d’Android.
WebView est un composant du système d’exploitation (OS) Android qui permet aux applications Android d’afficher le contenu du Web directement dans une application. Il existe deux manières d’afficher du contenu Web sur un appareil Android : via un navigateur Web traditionnel ou via une application Android qui inclut WebView dans la mise en page.
Un lien profond non validé sur un paramètre non nettoyé serait à l’origine de cette vulnérabilité identifiée comme CVE-2022-28799. L’abus peut conduire à un piratage de compte via l’interface JavaScript.
La faille a été repérée au mois de février. Elle est corrigée dans la version 23.7.3 de TikTok. Selon les chercheurs, il n’ont jusqu’ici trouvé aucune exploitation de cette faille classée de haute gravité.
Détourner les comptes des utilisateurs
Si des acteurs malveillants abusent de cette vulnérabilité, ils peuvent inciter les victimes à cliquer sur un lien malveillant. Cela permet aux attaquants de détourner les comptes des utilisateurs et d’avoir accès aux informations sensibles.
Si les cibles cliquent sur le lien, les pirates peuvent détourner le composant WebView de l’application TikTok. Cela suppose un accès au compte qu’il pourra modifier librement. Les attaquants peuvent notamment modifier le profil ou contrôler l’envoi des messages et la publication des vidéos.
Pire encore, les hackers peuvent récupérer les jetons d’authentification du compte piraté. TikTok est une application particulièrement populaire. L’application compte plus d’un milliard de téléchargements. Cette popularité qui suscite la convoitise des pirates.
Pour se protéger, les utilisateurs doivent éviter de cliquer sur des liens provenant de sources non fiables. Les experts en cybersécurité recommandent par ailleurs une mise à jour régulière de l’application. Et cette opération doit se faire via un site légitime.
- Partager l'article :