Check Point Research révèle avoir découvert plusieurs vulnérabilités touchant TikTok. Cette application et plateforme de partage de vidéos au format court connaît une grande popularité, en particulier chez les adolescents. Dans le giron du géant chinois ByteDance, TikTok s'impose comme l'une des applications les plus téléchargées au monde sur smartphone.
Selon les chercheurs en sécurité, il était possible de prendre le contrôle de n'importe quel compte TikTok via l'envoi d'un SMS à l'apparence légitime - au nom de TikTok - contenant un lien malveillant. Si un utilisateur cliquait sur le faux lien avec un malware, un attaquant était en mesure de supprimer et d'ajouter des vidéos, modifier des paramètres afin de publier des vidéos privées du compte.
Sans compter des failles de type XSS (cross-site scripting) touchant le sous-domaine ads.tiktok.com de TikTok et permettant la récupération d'informations personnelles sur les comptes d'utilisateurs, dont les adresses email et dates de naissance.
Check Point Research détaille ses trouvailles dans un billet de blog. Elles ne sont pas fraîches. Les développeurs de TikTok ont été prévenus le 20 novembre dernier et les vulnérabilités ont été corrigées le 15 décembre. D'après TikTok, il n'y a pas d'indication d'une exploitation active dans des attaques.
" Les données sont omniprésentes et les fuites de sécurité sont devenues une véritable épidémie. Nos études montrent que les applications les plus populaires comportent toujours des risques ", commente Oded Vanunu pour Check Point.
Une mise en garde qui ne vaut donc pas que pour TikTok. La révélation de ces vulnérabilités de sécurité intervient néanmoins dans un contexte de méfiance des États-Unis vis-à-vis de TikTok (et ByteDance) pour des risques d'espionnage et de sécurité nationale.
