Quatre failles de sécurité ont été découvertes dans l’application Android de TikTok

TikTok vient de corriger quatre failles de sécurité qui ont été découvertes dans son application Android, rapporte TechCrunch le vendredi 11 septembre 2020. Ces bogues, mises à jour par une application de sécurité de la start-up Oversecured, auraient pu être utilisés pour détourner des comptes d’utilisateurs via un logiciel malveillant qui peut voler des fichiers sensibles, comme des jetons de session, dans l’application TikTok.

Les jetons de session sont des petits fichiers qui permettent aux utilisateurs du réseau social de rester connectés sans avoir à ressaisir leurs mots de passe. Ainsi, si jamais ces jetons de session tombaient entre les mains d’un pirate, ils lui permettraient d’accéder aux comptes d’un utilisateur sans qu’un mot de passe lui soit demandé.

Crédits Kon Karampelas – Pixabay.com

Oversecured a publié les détails techniques concernant les failles de sécurité sur son site Internet et TikTok a affirmé qu’il avait déjà corrigé les bogues dès qu’Overload lui a signalé l’existence de ces failles de sécurité.

Des pirates auraient pu accéder à des données personnelles d’utilisateurs à cause de ces failles

Apparemment, ces failles de sécurité auraient pu permettre à une application malveillante d’injecter un fichier malveillant dans TikTok. Quand un utilisateur se connecte ainsi sur le réseau social, le malware se déclenche et va permettre à l’application malveillante d’accéder et de transmettre les jetons de session volés au serveur du pirate.

Sergey Toshin, le fondateur d’Oversecured, a aussi expliqué qu’il est probable que l’application malveillante ait pu détourner les autorisations d’application de TikTok, lui permettant ainsi d’accéder à l’appareil photo, au microphone ainsi qu’aux données telles que les photos et les vidéos sur le smartphone.

TikTok affirme travailler avec les tiers dans le but de débusquer ces bogues

Le porte-parole de TikTok, Hilary McQuaide, a tenu à expliquer que « dans le cadre de nos efforts continus pour créer la plateforme la plus sûre et la plus sécurisée du secteur, nous travaillons constamment avec des tiers pour trouver et corriger les bogues. Alors que les bogues en question ne poseraient un risque que si un utilisateur avait également téléchargé une application malveillante sur son appareil Android, nous les avons corrigés. Nous apprécions le chercheur qui nous a signalé ce problème afin que nous puissions le résoudre et nous encourageons tous nos utilisateurs à télécharger la dernière version de l’application ».

A noter également que ces failles de sécurité ont été découvertes quelques jours avant que l’administration Trump ne proclame une interdiction anticipée de TikTok pour menace à la sécurité nationale.

Mots-clés androidtiktok