histats

TikTok Account Takeover App Hack ne nécessite qu’un seul clic, déclare Microsoft

TikTok Account Takeover App Hack ne nécessite qu’un seul clic, déclare Microsoft

Les chercheurs en sécurité de Microsoft, qui font partie de l’équipe de recherche 365 Defender, ont découvert une grave vulnérabilité dans l’application Android TikTok qui pourrait permettre des prises de contrôle de compte en un clic, selon un rapport approfondi publié le 31 août.

La vulnérabilité, CVE-2022-28799, a été notée 8,8 (élevée) et est décrite par le National Institute of Standards and Technology (NIST) comme “un attaquant pourrait exploiter une interface JavaScript attachée pour la prise de contrôle en un clic”.

PLUS DE FORBESLastPass piraté : le gestionnaire de mots de passe avec 25 millions d’utilisateurs confirme la violation

Le piratage en un clic nécessite que la chaîne d’exploitation soit exécutée avec succès

Pour arriver à l’exécution en 1 clic, où la victime a été compromise en cliquant sur un lien malveillant, l’attaquant doit d’abord combiner un certain nombre de problèmes. En supposant que cela soit réalisé, la victime, en cliquant sur le lien unique, donnerait à l’attaquant l’accès au profil utilisateur TikTok et la possibilité de publier des vidéos et d’envoyer des messages, révèle Microsoft.

“La vulnérabilité a permis de contourner la vérification des liens profonds de l’application. Les attaquants pourraient forcer l’application à charger une URL arbitraire dans la WebView de l’application”, explique Microsoft, “puis permettre à l’URL d’accéder aux ponts JavaScript attachés à la WebView et de fournir des fonctionnalités aux attaquants. .” La sécurité de connexion de l’utilisateur a pu être contournée en déclenchant une demande à un serveur contrôlé pour enregistrer le cookie et demander aux en-têtes de récupérer le jeton d’authentification TikTok de l’utilisateur.

PLUS DE FORBESGoogle confirme qu’une nouvelle attaque peut lire tous les messages Gmail : les comptes iraniens sont ciblés

1,5 milliard d’utilisateurs de l’application Android TikTok

Avec plus de 1,5 milliard d’applications TikTok pour Android installées, combinant les deux versions disponibles dans le monde, l’impact potentiel de CVE-2022-28799 méritait la note élevée. L’équipe de recherche Microsoft 365 Defender a accepté et un chercheur principal en sécurité a partagé les détails de TikTok en utilisant la divulgation coordonnée des vulnérabilités en février 2022.

TikTok a répondu efficacement et a mis à jour l’application Android pour résoudre le problème. Les utilisateurs de TikTok qui y accèdent via Android sont invités à vérifier que leur application est à jour et protégée contre cette vulnérabilité. Les versions d’application antérieures à 23.7.3 sont concernées.

Il y a d’autres bonnes nouvelles de Microsoft dans la mesure où ils n’étaient au courant d’aucune exploitation active de CVE-2022-28799 jusqu’à ce que l’application soit mise à jour.

Conseils de restriction pour des méthodes d’attaque similaires

Dimitrios Valsamaras de l’équipe de recherche Microsoft 365 Defender recommande ce qui suit pour se défendre contre des exploits de sécurité similaires :

  • Évitez de cliquer sur des liens provenant de sources non fiables
  • Gardez toujours votre appareil et les applications installées à jour
  • N’installez jamais de programmes provenant de sources non fiables
  • Signalez immédiatement les comportements étranges de l’application au fournisseur, tels que les changements de paramètres déclenchés sans intervention de l’utilisateur.

PLUS DE FORBESLa nouvelle attaque Gmail contourne les mots de passe et 2FA pour lire tous les e-mails

See also  Les escrocs ont deux nouvelles façons astucieuses d'installer des applications malveillantes sur les appareils iOS

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *