En février, Microsoft a découvert et signalé une faille de grande gravité dans l’application TikTok Android, qui permettait aux attaquants de prendre le contrôle de comptes en un seul clic, en incitant les cibles à cliquer sur un lien malveillant spécialement conçu.
« Les attaquants auraient pu tirer parti de cette vulnérabilité pour détourner un compte à l’insu de l’utilisateur ciblé s’il avait simplement cliqué sur un lien spécialement conçu », a déclaré Dimitrios Valsamaras, membre de l’équipe de recherche Microsoft 365 Defender.
Le fait de cliquer sur le lien expose plus de 70 méthodes JavaScript qui peuvent être exploitées par un pirate à l’aide d’un exploit conçu pour détourner la vue Web de l’application TikTok.
« Une vulnérabilité de détournement de vue Web a été trouvée sur l’application TikTok Android via un lien profond non validé sur un paramètre non assaini. Cela aurait pu entraîner un détournement de compte par le biais d’une interface JavaScript », explique le rapport de HackerOne.
En novembre 2020, TikTok a corrigé des vulnérabilités qui permettaient aux acteurs de la menace de détourner rapidement les comptes des utilisateurs qui s’inscrivaient via des applications tierces.
La société a également corrigé d’autres failles de sécurité qui auraient pu permettre à des pirates de voler les informations personnelles des utilisateurs ou de s’emparer de leurs comptes pour manipuler des vidéos.