Microsoft affirme avoir trouvé l’explication derrière une vague récente de piratages de compte TikTok. Selon la firme, une faille dans l’application Android permettait aux pirates d’envoyer des liens vérolés leur permettant de prendre immédiatement le contrôle des comptes de leurs victimes.
Concrètement une faille dans le système de vérification des liens profonds dans l’application Android permettait aux pirates de générer des liens vérolés leur permettant de prendre le contrôle de n’importe quel compte dès lors que la victime cliquait dessus. Lorsque les liens profonds sont suivis hors de l’application, ils sont normalement vérifiés.
Pour cela, TikTok vérifie leur présence dans un manifeste. L’application peut également réaliser des opérations cryptographiques pour vérifier l’authenticité d’un lien Normalement, via ce type de liens, l’application TikTok n’autorise que l’affichage de code en provenance de tiktok.com dans son navigateur intégré WebView.
Tout en interdisant le chargement de contenu en provenance d’autres domaines. Mais avec cette faille, les pirates pouvaient s’affranchir de cette limitation et accéder aux ponts sécurisés javascript pour prendre le contrôle total du compte.
Les chercheurs ont pu exploiter eux-mêmes la faille avec une démo. Il s’agissait d’envoyer un lien malicieux qui, une fois suivi, aspire les jetons d’authentification de la victime pour se connecter ensuite aux serveurs de TikTok et authentifier l’ouverture d’une session. Ils ont démontré qu’il était ainsi possible de téléverser des vidéos, et de changer la bio de la victime.
Se protéger contre ce type d’attaques peut être complexe, surtout lorsque l’on ne sait pas forcément que ce genre de stratagème est possible. Il convient cependant, comme toujours, de systématiquement se méfier des liens en provenance de contacts peu fiables.
