Avec plus de 1,5 milliard de téléchargements à travers le monde, TikTok est un réseau social de partage de clips vidéo incontournable. Cependant, des spécialistes en cybersécurité ont découvert une grave faille sur l’application TikTok qui permettait à n’importe qui ayant des connaissances informatiques solides de prendre le contrôle total d’un compte. Heureusement, le bogue a été corrigé par TikTok une fois qu’ils en ont été informés.
La vulnérabilité en question
La vulnérabilité, connue sous le nom de CVE-2022-28799, permettait de poster ou de supprimer des vidéos, envoyer des messages, et même changer les paramètres du compte. Seule la version Android était touchée, mais Microsoft n’a pas eu connaissance d’une exploitation de cette faille par des hackers malveillants.
Le deeplinking au cœur du problème
La faille utilisait un outil Android appelé deeplinking, qui permet d’ouvrir automatiquement une application sur un certain contenu lorsqu’on clique sur un lien. Cependant, l’implémentation de cet outil sur TikTok était défaillante, ce qui permettait à quiconque ayant des connaissances informatiques solides d’ouvrir une page web contenant du code malveillant. Cela permettait alors de voler des jetons d’authentification et donc d’accéder au compte visé.
Comment éviter de mauvaises surprises
Pour éviter de mauvaises surprises, l’équipe qui a découvert la faille conseille de ne pas cliquer sur des liens provenant de sources inconnues, de maintenir ses applications à jour, de ne pas installer d’applications depuis des sources non officielles, et de toujours utiliser un antivirus à jour.
La découverte et la correction de cette grave faille de sécurité sur TikTok ont été cruciales, étant donné que la vulnérabilité était présente sur les deux versions de l’application (version chinoise et version du reste du monde), qui à elles deux comptabilisent 1,5 milliard de téléchargements. Si cette vulnérabilité n’avait pas été découverte et corrigée à temps, cela aurait pu représenter un risque important pour tous ces utilisateurs. Bien que cette faille ait été corrigée, il est donc important de rester vigilant et de suivre les conseils de sécurité en ligne pour protéger ses comptes et ses données contre les risques de cyberattaque.
