Une vulnérabilité dans TikTok à cause d’une API

L'Imperva Red Team a découvert une vulnérabilité dans TikTok qui pourrait permettre aux attaquants de surveiller l'activité des utilisateurs à la fois sur les appareils mobiles et de bureau.

Ces dernières années, les applications web sont devenues de plus en plus complexes, les développeurs exploitant diverses API et mécanismes de communication pour améliorer les fonctionnalités et l’expérience des utilisateurs. Un domaine est celui des gestionnaires d’événements de messages. D’après l’expérience de L’Imperva Red Team, ces gestionnaires sont souvent négligés en tant que sources potentielles de vulnérabilités de sécurité, même s’ils traitent des entrées provenant de sources externes.

Cette vulnérabilité, qui a maintenant été corrigée, a été causée par un gestionnaire d’événement de message de fenêtre qui ne valide pas correctement l’origine du message, ce qui permet aux attaquants d’accéder à des informations sensibles de l’utilisateur. Dans cet article de blog, nous examinerons le fonctionnement de cette vulnérabilité et ses implications potentielles pour les utilisateurs de TikTok.

La première étape de la découverte de la vulnérabilité a consisté à identifier tous les gestionnaires d’événements de messages dans l’application web de TikTok. Cela a nécessité une analyse complète du code source afin de localiser les cas où l’API PostMessage était utilisée. Une fois tous les gestionnaires d’événements de messages identifiés, nous avons lu attentivement et compris le code de chaque gestionnaire. Cela nous a permis de déterminer l’objectif de chaque gestionnaire et d’évaluer les implications en termes de sécurité du traitement de messages non fiables. En exploitant cette vulnérabilité, les attaquants peuvent envoyer des messages malveillants à l’application web TikTok via l’API PostMessage, en contournant les mesures de sécurité. Le gestionnaire d’événements du message traiterait alors le message malveillant comme s’il provenait d’une source fiable, ce qui permettrait à l’attaquant d’accéder aux informations sensibles de l’utilisateur.

Cette divulgation rappelle l’importance d’une validation correcte de l’origine des messages et les risques liés à l’autorisation de communication entre domaines sans mesures de sécurité appropriées.

Accès aux informations des utilisateurs de TikTok

L’exploitation de cette vulnérabilité pourrait permettre aux attaquants d’accéder à divers types d’informations des utilisateurs de TikTok, y compris :

• Appareil de l’utilisateur : Les informations relatives à l’appareil de l’utilisateur, telles que le type d’appareil, le système d’exploitation et les détails du navigateur, peuvent être consultées par l’auteur de l’attaque.
• Vidéos visionnées : Les pirates pourraient surveiller les vidéos que l’utilisateur a regardées sur la plateforme, ce qui pourrait révéler les intérêts et les préférences de l’utilisateur.
• Durée des visionnages : Outre les vidéos visionnées, les pirates pourraient également recueillir des informations sur la durée des visionnages, ce qui permettrait de mieux comprendre le comportement et l’engagement de l’utilisateur.
• Informations sur le compte de l’utilisateur : Les informations personnelles associées au compte TikTok de l’utilisateur, telles que le nom d’utilisateur, les vidéos et d’autres détails du compte, pourraient être exposées à l’attaquant.
• Requêtes de recherche : Les requêtes de recherche de l’utilisateur constituent un autre élément d’information susceptible d’être divulgué par le biais de cette vulnérabilité. En accédant à l’URL de TikTok, les attaquants pourraient voir les termes de recherche que l’utilisateur a saisis, révélant ses intérêts et des informations potentiellement sensibles.