Les vulnérabilités de TikTok sur son système SMS permettent aux attaquants de voler des informations personnelles
Les chercheurs en sécurité ont découvert diverses vulnérabilités du TikTok, propriété de ButeDance, basé à Pékin, qui permet aux pirates potentiels de pirater les comptes des utilisateurs et de manipuler les vidéos téléchargées et les informations personnelles.
TikTok est une célèbre plate-forme de médias sociaux et la participation des utilisateurs de masse sur cette plate-forme a maintenant. Lors des statistiques de novembre selon les estimations de Sensor Tower Store Intelligence, il compte plus de 500 000 000 installateurs sur Google Play et plus de 1,5 milliard sur plate-forme mobile. Il est utilisé pour partager des vidéos mobiles en boucle de forme courte de 3 à 60 secondes.
Les chercheurs de Check Point indiquent dans un rapport que les applications Tittok et son backend étaient vulnérables aux attaques. Le ByteDance corrigeant la vulnérabilité dans le mois suivant la divulgation des problèmes de sécurité en novembre.
“Les données sont omniprésentes, mais les violations de données deviennent une épidémie, et nos dernières recherches montrent que les applications les plus populaires sont toujours à risque”, a déclaré Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits de Check Point.
“Les applications de médias sociaux sont très ciblées pour les vulnérabilités car elles fournissent une bonne source de données privées et offrent une bonne porte de surface d’attaque.”
Système SMS vulnérable sur TikTok
CheckPoint a déclaré que le système SMS du TikTok permet aux attaques de manipuler les données de compte en ajoutant et en supprimant des vidéos, de modifier les paramètres de confidentialité des vidéos et d’ex-filtrer les noms d’utilisateur, l’adresse e-mail, l’anniversaire et d’autres données personnelles liées aux utilisateurs. Selon les chercheurs de Check Point, les attaquants exploitent les vulnérabilités du système pour télécharger des vidéos non autorisées et supprimer les vidéos téléchargées, déplacer les vidéos des utilisateurs du privé vers le public et voler des informations personnelles.
Pour effectuer ces actions malveillantes, les attaquants pourraient envoyer le lien de téléchargement de l’application aux numéros de téléphone des utilisateurs via des SMS donnant l’impression de provenir de TikTok. De plus, les utilisateurs pourraient être redirigés vers un serveur Web contrôlé par les attaquants.
“La redirection ouvre la possibilité de réaliser des attaques de type Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS) et Sensitive Data Exposure sans le consentement de l’utilisateur.”
«TikTok s’engage à protéger les données des utilisateurs. Comme de nombreuses organisations, nous encourageons les chercheurs en sécurité responsables à nous divulguer en privé les vulnérabilités zero day», a déclaré Luke Deshotels, l’équipe de sécurité de TikTok.
Avant la divulgation publique, CheckPoint a convenu que ces vulnérabilités avaient été corrigées sur la dernière version de l’application.
TikTok interdit les téléphones intelligents délivrés par le gouvernement aux soldats
Les révélations de la recherche de Check Point interviennent après l’interdiction du TikTok des branches militaires américaines, notamment l’armée, la marine, le Marine Corps et l’Air Force.
“C’est considéré comme une cyber-menace”, a déclaré le lieutenant-colonel de l’armée, le lieutenant-colonel Robin Ochoa, “nous ne l’autorisons pas sur les téléphones du gouvernement”.
“Méfiez-vous des applications que vous téléchargez, surveillez vos téléphones pour les textes inhabituels et non sollicités, etc., et supprimez-les immédiatement et désinstallez TikTok pour contourner toute exposition d’informations personnelles.”, nouvelles directives également pour tous les employés du département de la défense.
Cela a été suivi par un communiqué envoyé plus tard par les sénateurs américains Chuck Schumer et Tom Cotton en octobre “au directeur par intérim du renseignement national demandant une évaluation des risques pour la sécurité nationale posés par TikTok et d’autres plateformes de contenu basées en Chine opérant aux États-Unis”.
Schumer a également publié une déclaration, a déclaré que l’enquête de sécurité nationale sur TikTok valide la préoccupation des sénateurs selon laquelle des applications comme TikTok pourraient présenter de graves risques pour des millions d’Américains et mériteraient un examen plus approfondi en réponse lorsque Reuters a rapporté que le gouvernement américain avait ouvert une enquête sur ByteDance, propriétaire de TikTok, a acquis l’application sociale américaine musical.ly à partir de novembre 2017 pour les risques potentiels pour la sécurité nationale.
Vanessa Pappas, directrice générale de tiktok US, a répondu que tous les tiktok stockent les données des utilisateurs aux États-Unis avec une redondance de sauvegarde à Singapour. “Nos centres de données sont situés entièrement en dehors de la Chine, et aucune de nos données n’est soumise à la loi chinoise”, a-t-elle déclaré fin octobre.
“Les centres de données de TikTok sont situés entièrement à l’extérieur de la Chine.” Elle a également déclaré que la société disposait “d’une équipe technique dédiée axée sur le respect de politiques de cybersécurité robustes et de pratiques de confidentialité et de sécurité des données”, c’est ce que les pappas ont réitéré un mois plus tard.
