Microsoft a révélé mercredi les détails d’une “vulnérabilité de haute gravité” désormais corrigée dans l’application Android TikTok qui pourrait permettre aux attaquants de prendre le contrôle des comptes lorsque les victimes cliquent sur un lien malveillant.
“Les attaquants pourraient exploiter la vulnérabilité pour détourner un compte à l’insu des utilisateurs si l’utilisateur cible cliquait simplement sur un lien spécialement conçu”, Dimitrios Valsamaras de l’équipe de recherche Microsoft 365 Defender. dit par écrit.
L’exploitation réussie de la faille pourrait permettre à des acteurs malveillants d’accéder et de modifier les profils TikTok et les informations sensibles des utilisateurs, conduisant à une exposition non autorisée de vidéos privées. Les attaquants peuvent également avoir abusé de la faille pour envoyer des messages et télécharger des vidéos au nom des utilisateurs.
– Publicité –
Le problème résolu dans la version 23.7.3 affecte deux variantes de son application Android com.ss.android.ugc.trill (pour les utilisateurs d’Asie de l’Est et du Sud-Est) et com.zhiliaoapp.musically (pour les utilisateurs d’autres pays, à l’exception de l’Inde où cela est interdit ). Combinées, les applications ont plus de 1,5 milliard d’installations entre elles.
Suivie sous le nom de CVE-2022-28799 (score CVSS : 8,8), la vulnérabilité est liée à la gestion par l’application d’un soi-disant lien profond, un lien hypertexte spécial qui permet aux applications d’ouvrir une ressource spécifique dans une autre application installée sur l’appareil, plutôt que de cibler les utilisateurs vers un site Web.
“Une URL spécialement conçue (lien profond non validé) pourrait forcer WebView com.zhiliaoapp.musically à charger un site Web arbitraire”, selon une notification de bogue. “Cela pourrait permettre à un attaquant d’utiliser une interface JavaScript attachée pour une prise de contrôle en un clic.”
En termes simples, la faille permet de contourner les restrictions d’application pour rejeter les hôtes non fiables et charger n’importe quel site Web du choix de l’attaquant via le système Android. WebView, un mécanisme d’affichage de contenu Web dans d’autres applications.
“Le filtrage est effectué côté serveur, et la décision de charger ou de rejeter une URL est basée sur la réponse reçue d’une requête HTTP GET particulière”, a expliqué Valsamaras, ajoutant que l’analyse statique “montre qu’il est possible de contourner le serveur en ajoutant deux paramètres supplémentaires au lien profond.”
L’une des conséquences de cet exploit, conçu pour détourner WebView pour charger des sites Web frauduleux, est qu’il pourrait permettre à un adversaire d’appeler plus de 70 terminaux TikTok exposés, compromettant l’intégrité du profil d’un utilisateur. Il n’y a aucune preuve que le bogue ait été transformé en arme dans la nature.
“Du point de vue de la programmation, l’utilisation d’interfaces JavaScript comporte des risques importants”, note Microsoft. “Une interface JavaScript compromise pourrait potentiellement permettre aux attaquants d’exécuter du code en utilisant l’identité et les privilèges de l’application.”
Add Comment