Check Point Research (CPR) à découvert une vulnérabilité dans la fonction « Trouver des amis » de TikTok qui contourne sa protection de la confidentialité. Si elle n’avait pas été corrigée, la vulnérabilité aurait permis à un pirate d’accéder aux détails du profil d’un utilisateur et au numéro de téléphone associé à son compte, permettant ainsi de constituer une base de données d’informations utilisables dans le cadre d’une activité malveillante.
Les détails des profils accessibles via la dernière vulnérabilité comprennent le numéro de téléphone, le surnom, les photos du profil et de l’avatar, les identificateurs uniques des utilisateurs et plus encore. Un correctif a été déployé.
Méthodologie de l’exploitation de la vulnérabilité
- Création d’une liste d’appareils (ID d’appareils) qui seront utilisés pour interroger les serveurs de TikTok.
- Création d’une liste de jetons de session (chaque jeton de session est valable pendant 60 jours) qui seront utilisés pour interroger les serveurs de TikTok.
- Contournement du mécanisme de signature des messages http de TikTok en utilisant son propre service de signature, exécuté en arrière-plan.
- Modification des requêtes http, signature et utilisation de différents jetons de session et identifiants d’appareils pour contourner les mécanismes de protection de TikTok.
Une solution a été déployée pour garantir que les utilisateurs de TikTok puissent continuer à utiliser l’application en toute sécurité.
Crédit photo : DR
[cc] Breizh-info.com, 2021, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine
