Check Point Research révèle plusieurs vulnérabilités dans TikTok

janvier 2020 par Check Point Research Team

Check Point® Software Technologies Ltd. a révélé avoir découvert plusieurs vulnérabilités dans TikTok qui auraient pu permettre à des pirates de manipuler du contenu dans des comptes d’utilisateurs et d’extraire des informations personnelles confidentielles enregistrées sur ces comptes.

L’application TikTok est principalement utilisée par des adolescents et des enfants pour partager, enregistrer et conserver des vidéos privées (et parfois très confidentielles) d’eux-mêmes et de leurs proches. L’étude a révélé qu’un pirate pouvait envoyer un SMS falsifié contenant un lien malveillant à un utilisateur, et que si l’utilisateur cliquait sur ce lien, le pirate pouvait prendre le contrôle du compte TikTok et manipuler son contenu en supprimant des vidéos, en téléchargeant des vidéos non autorisées et en rendant publiques des vidéos privées ou « cachées ».

L’étude a également révélé que le sous-domaine https://ads.tiktok.com de Tiktok était vulnérable à des attaques XSS, un type d’attaque dans lequel des scripts malveillants sont injectés dans des sites web de confiance ou inoffensifs. Les chercheurs de Check Point ont exploité cette vulnérabilité pour récupérer des informations personnelles enregistrées sur les comptes d’utilisateurs, y compris les adresses email privées et les dates de naissance.

Check Point Research a informé les développeurs de TikTok des vulnérabilités exposées dans cette étude et un correctif a été déployé de manière responsable pour garantir que les utilisateurs puissent continuer d’utiliser l’application TikTok en toute sécurité.

« Les données sont omniprésentes, et les fuites de sécurité sont devenues une véritable épidémie. Nos études montrent que les applications les plus populaires comportent toujours des risques, » déclare Oded Vanunu, responsable des recherches sur les vulnérabilités des produits chez Check Point. « Les pirates recherchent constamment des vulnérabilités sur les applications de réseaux sociaux, car ce sont de bonnes sources de données privées et elles comportent des surfaces d’attaque étendues. Ils dépensent de fortes sommes d’argent et consacrent tous leurs efforts à tenter de s’infiltrer dans ces applications populaires. La plupart des utilisateurs considèrent pourtant qu’ils sont protégés par les applications qu’ils utilisent. »

Luke Deshotels, de l’équipe de sécurité de TikTok, ajoute : « TikTok s’engage à protéger les données des utilisateurs. Comme de nombreuses entreprises, nous invitons les chercheurs en sécurité à nous communiquer en privé toute vulnérabilité zero day découverte. Avant de l’annoncer publiquement, CheckPoint a convenu que tous les problèmes signalés ont été corrigés dans la dernière version de notre application. Nous espérons que cette expérience nous permettra de continuer à collaborer avec les chercheurs en sécurité. »

Disponible dans plus de 150 marchés, utilisée dans 75 langues et avec plus d’un milliard d’utilisateurs, TikTok est certainement l’une des applications les plus téléchargées au monde. En octobre 2019, TikTok était l’application la plus téléchargée aux États-Unis. C’est la première application chinoise à avoir atteint un tel record.