Une vulnérabilité a été découverte dans l’application Android TikTok qui permet aux attaquants d’obtenir un accès non détecté aux comptes.

Microsoft a dévoilé aujourd’hui une vulnérabilité dans l’application Android TikTok qui permettait aux attaquants d’accéder aux comptes d’utilisateurs en un seul clic. Cela fait suite à la récente clarification de TikTok sur une prétendue violation de données aux États-Unis.

La spécificité de l’exploit nécessitait l’enchaînement de plusieurs problèmes pour fonctionner, et le problème avait déjà été résolu sans aucun signe d’exploitation dans la nature. Les attaquants pourraient l’utiliser à l’insu des utilisateurs s’il était utilisé.

La vulnérabilité elle-même permettait aux attaquants de contourner les vérifications de liens profonds d’une application en la forçant à charger une URL arbitraire dans la vue Web de l’application, lui permettant d’accéder aux ponts JavaScript connectés et d’exposer les fonctionnalités.

Il existe deux variantes différentes de l’application TikTok, une pour l’Asie de l’Est et du Sud-Est et une pour le reste du monde. Les deux ont été affectés par cet exploit et Microsoft a informé TikTok de ce problème en février 2022.

TikTok a publié une mise à jour de l’application en mars 2022, en collaboration avec Microsoft pour combler rapidement la faille. Heureusement, l’attaque n’a pas été activement exploitée car elle pouvait être utilisée pour publier des vidéos et d’autres contenus sur la plate-forme sans être détectée. Microsoft a réitéré que JavaScript doit être évité dans la mesure du possible, car il peut prévenir des risques importants.