Microsoft a déclaré le Le 31 août, il a récemment identifié une vulnérabilité dans l’application Android de TikTok qui pourrait permettre aux attaquants de détourner des comptes lorsque les utilisateurs ne faisaient rien de plus que de cliquer sur un seul lien errant. Le fabricant de logiciels a déclaré avoir informé TikTok de la vulnérabilité en février et que la société de médias sociaux basée en Chine a depuis corrigé la faille, qui est identifiée comme CVE-2022-28799.
La vulnérabilité résidait dans la façon dont l’application vérifiait ce que l’on appelle les liens profonds, qui sont des hyperliens spécifiques à Android permettant d’accéder à des composants individuels dans une application mobile. Les liens profonds doivent être déclarés dans le manifeste d’une application pour une utilisation en dehors de l’application. Ainsi, par exemple, quelqu’un qui clique sur un lien TikTok dans un navigateur voit le contenu automatiquement ouvert dans l’application TikTok.
Une application peut également déclarer cryptographiquement la validité d’un domaine d’URL. TikTok sur Android, par exemple, déclare le domaine m.tiktok.com. Normalement, l’application TikTok autorise le chargement du contenu de tiktok.com dans son composant WebView mais interdit à WebView de charger le contenu d’autres domaines.
“La vulnérabilité a permis de contourner la vérification des liens profonds de l’application”, ont écrit les chercheurs. “Les attaquants pourraient forcer l’application à charger une URL arbitraire dans la WebView de l’application, permettant à l’URL d’accéder ensuite aux ponts JavaScript attachés à la WebView et d’accorder des fonctionnalités aux attaquants.”
Les chercheurs ont ensuite créé un exploit de preuve de concept qui a fait exactement cela. Il s’agissait d’envoyer à un utilisateur TikTok ciblé un lien malveillant qui, une fois cliqué, obtenait les jetons d’authentification dont les serveurs TikTok ont besoin pour que les utilisateurs prouvent la propriété de leur compte. Le lien a également modifié la biographie du profil de l’utilisateur ciblé pour afficher le texte “!! SECURITY BREACH !!”
“Une fois que l’utilisateur TikTok ciblé a cliqué sur le lien malveillant spécialement conçu par l’attaquant, le serveur de l’attaquant, https://www.attacker[.]com/poc, bénéficie d’un accès complet au pont JavaScript et peut invoquer toute fonctionnalité exposée », ont écrit les chercheurs. “Le serveur de l’attaquant renvoie une page HTML contenant du code JavaScript pour renvoyer des jetons de téléchargement vidéo à l’attaquant et modifier la biographie du profil de l’utilisateur.”
Microsoft a déclaré qu’il n’avait aucune preuve que la vulnérabilité était activement exploitée dans la nature.
Cette histoire est apparue à l’origine sur Ars Technica.