Une vulnérabilité de gravité élevée dans l'application Android TikTok a été corrigée. La faille pourrait permettre aux attaquants de prendre le contrôle des comptes d'utilisateurs en incitant les utilisateurs à cliquer sur un lien malveillant. Découvert par Microsoft, la vulnérabilité a déjà été fixée.
histoire connexes: Des influenceurs TikTok de haut niveau ciblés dans une campagne de phishing
L'exploitation réussie de la faille TikTok aurait nécessité la modification simultanée de plusieurs failles, Microsoft a déclaré. Heureusement, aucune preuve d'exploits dans la nature n'a été découverte jusqu'à présent. "Les attaquants auraient pu exploiter la vulnérabilité pour détourner un compte à l'insu des utilisateurs si un utilisateur ciblé cliquait simplement sur un lien spécialement conçu.,» La compagnie a fait remarquer.
Par conséquent, les attaquants auraient pu modifier les profils TikTok et accéder aux détails sensibles des utilisateurs. La faille aurait pu conduire à rendre publiques des vidéos privées, envoyer des messages, et mettre en ligne des vidéos au nom de comptes victimes.
CVE-2022-28799: Présentation technique
En termes techniques, la vulnérabilité, maintenant connu sous le nom de CVE-2022-28799, autorisé le contournement de la vérification des liens profonds de l'application. Par conséquent, les pirates pourraient charger une URL arbitraire dans la WebView de l'application, permettant à l'URL d'accéder aux ponts JavaScript attaqués de WebView.
Selon la description officielle du CVE, l'application TikTok avant 23.7.3 pour Android permet la prise de contrôle de compte. Une URL spécialement conçue ou un lien profond non validé pourrait forcer la WebView com.zhiliaoapp.musically à charger un site Web arbitraire. Cette action pourrait en outre permettre à un acteur menaçant d'exploiter une interface JavaScript attachée pour une attaque de prise de contrôle en un clic.
"Nous avons déjà étudié les ponts JavaScript pour leurs implications potentielles de grande envergure. Soulignant l'importance de faire preuve de prudence lorsque vous cliquez sur des liens inconnus, cette recherche montre également comment la collaboration au sein de la communauté de la sécurité est nécessaire pour améliorer les défenses de l'écosystème numérique global," Microsoft a ajouté.
Après avoir réalisé une évaluation de la vulnérabilité de TikTok, les chercheurs ont déterminé que la vulnérabilité affectait les deux versions de TikTok pour Android, avec plus de 1.5 milliards d'installations combinées via le Google Play Store. Suite à la divulgation, TikTok a rapidement publié un correctif pour CVE-2022-28799. Les utilisateurs de TikTok doivent s'assurer qu'ils utilisent la dernière version de l'application TikTok.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: