Microsoft a trouvé une faille dans TikTok Android qui permet aux pirates de s’emparer de comptes

En février, Microsoft a découvert et signalé une faille de grande gravité dans l’application TikTok Android, qui permettait aux attaquants de prendre le contrôle de comptes en un seul clic, en incitant les cibles à cliquer sur un lien malveillant spécialement conçu.

« Les attaquants auraient pu tirer parti de cette vulnérabilité pour détourner un compte à l’insu de l’utilisateur ciblé s’il avait simplement cliqué sur un lien spécialement conçu », a déclaré Dimitrios Valsamaras, membre de l’équipe de recherche Microsoft 365 Defender.

Le fait de cliquer sur le lien expose plus de 70 méthodes JavaScript qui peuvent être exploitées par un pirate à l’aide d’un exploit conçu pour détourner la vue Web de l’application TikTok.

« Une vulnérabilité de détournement de vue Web a été trouvée sur l’application TikTok Android via un lien profond non validé sur un paramètre non assaini. Cela aurait pu entraîner un détournement de compte par le biais d’une interface JavaScript », explique le rapport de HackerOne.

En novembre 2020, TikTok a corrigé des vulnérabilités qui permettaient aux acteurs de la menace de détourner rapidement les comptes des utilisateurs qui s’inscrivaient via des applications tierces.

La société a également corrigé d’autres failles de sécurité qui auraient pu permettre à des pirates de voler les informations personnelles des utilisateurs ou de s’emparer de leurs comptes pour manipuler des vidéos.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

BOOK A MEETING

Enter your Email Address

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* No free email provider (e.g: gmail.com, hotmail.com, etc.)

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.