Tik Tok : multiples vulnérabilités pour l'application sociale !

CheckPoint vient de mettre à jour plusieurs failles concernant l'application de réseautage Tik Tok, le 8 Janvier dernier : si "une solution" a été appliquée en guise de rustine par l'équipe en charge de l'application mobile, certaines failles permettaient de modifier, créer voire supprimer du contenu via des attaques XSS ("X" cross-Site Scripting)...

 

 

La plus simple profitait d'un lien (de téléchargement de l'application mais, donc, frauduleux) envoyé par SMS : l'exploit prenait son sein depuis une requête HTTP pour la détourner et la retourner à la victime avec le lien vérolé. De là et selon le but souhaité, des attaques multiples pouvaient être faites, notamment de type XSS depuis une simple barre de recherche qui recelait, en réalité du script frauduleux. Les valeurs des retours-requêtes (côté utilisateur) être ainsi tronquées. L'attaque XSS permettait une collecte de données sensibles depuis l'usage détourné d'une API par l'entremise d'une requête de type AJAX, amenant à nue (et, indirectement, une aspiration) des informations bancaires depuis le wallet des comptes ciblés.

En finalité, cela pouvait amener à supprimer ou créer une vidéo (mais, également, changer son statut : de privé en public) voire à ajouter, à son insu, un compte malveillant en tant qu'abonné (follower). En Décembre 2019, l'US Navy avait officiellement communiqué sur le fait qu'elle interdisait dorénavant à tout les membres de son personnel l'usage de l'application, qualifiée de "menaces cyber-sécuritaire" ... A veiller !

 

Source : Check Point Research - 8 Janvier 2020 - Tik Tok : multiples failles.