Les chercheurs en sécurité de Check Point ont découvert plusieurs vulnérabilités au sein de l’infrastructure du réseau social chinois TikTok.
Si elles ont depuis été corrigées, elles auraient pu permettre à des âmes mal intentionnées de supprimer les vidéos publiées sur la plate-forme et de dérober les données personnelles des utilisateurs.
Un SMS pour supprimer toutes les vidéos
Dans leur démonstration, les chercheurs de Check Point montrent qu’un simple lien malveillant envoyé aux utilisateurs de TikTok suffisait. Ils se sont pour cela appuyés sur la possibilité depuis le site de la plate-forme de demander à recevoir le lien de téléchargement de l’application par SMS.
Il suffisait ensuite de modifier un paramètre dans la requête HTTP à l’aide d’un outil dédié pour intégrer un lien malveillant dans le message qui était envoyé de manière légitime par TikTok. Le SMS apparaissait donc comme étant envoyé par TikTok. Seul son contenu, et en particulier le lien, était modifié.
La technique pouvait d’ailleurs être déclinée sous plusieurs variantes, en fonction des actions que les hackers auraient pu vouloir réaliser.
L’utilisateur qui ouvrait le message et cliquait sur le lien, aurait pu alors voir toutes les vidéos de son compte supprimées, découvrir de nouvelles vidéos dont il n’était pas l’auteur publiées sur son profil, ou encore voir ses vidéos passer de privées à publiques, à son insu.
Une autre faille dénichée par les chercheurs leur permettait aussi d’accéder aux informations personnelles des utilisateurs, et cela directement depuis le site de TikTok.
Après cette découverte courant novembre, les chercheurs de Check Point ont alerté l’équipe dédiée à la sécurité de TikTok qui a pu rapidement corriger les différentes failles, avant qu’elles ne soient exploitées.
Sources :
Bleeping Computer, Check Point Security
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
