TikTokTikTok
Ces dernières années, les applications web sont devenues de plus en plus complexes, les développeurs exploitant diverses API et mécanismes de communication pour améliorer les fonctionnalités et l’expérience des utilisateurs. Un domaine est celui des gestionnaires d’événements de messages. D’après l’expérience de L’Imperva Red Team, ces gestionnaires sont souvent négligés en tant que sources potentielles de vulnérabilités de sécurité, même s’ils traitent des entrées provenant de sources externes.
Cette vulnérabilité, qui a maintenant été corrigée, a été causée par un gestionnaire d’événement de message de fenêtre qui ne valide pas correctement l’origine du message, ce qui permet aux attaquants d’accéder à des informations sensibles de l’utilisateur. Dans cet article de blog, nous examinerons le fonctionnement de cette vulnérabilité et ses implications potentielles pour les utilisateurs de TikTok.
La première étape de la découverte de la vulnérabilité a consisté à identifier tous les gestionnaires d’événements de messages dans l’application web de TikTok. Cela a nécessité une analyse complète du code source afin de localiser les cas où l’API PostMessage était utilisée. Une fois tous les gestionnaires d’événements de messages identifiés, nous avons lu attentivement et compris le code de chaque gestionnaire. Cela nous a permis de déterminer l’objectif de chaque gestionnaire et d’évaluer les implications en termes de sécurité du traitement de messages non fiables. En exploitant cette vulnérabilité, les attaquants peuvent envoyer des messages malveillants à l’application web TikTok via l’API PostMessage, en contournant les mesures de sécurité. Le gestionnaire d’événements du message traiterait alors le message malveillant comme s’il provenait d’une source fiable, ce qui permettrait à l’attaquant d’accéder aux informations sensibles de l’utilisateur.
Cette divulgation rappelle l’importance d’une validation correcte de l’origine des messages et les risques liés à l’autorisation de communication entre domaines sans mesures de sécurité appropriées.
L’exploitation de cette vulnérabilité pourrait permettre aux attaquants d’accéder à divers types d’informations des utilisateurs de TikTok, y compris :