TikTok vous permet de partager des vidéos de 15 secondes avec vos abonnés. Cela aurait également pu vous rendre vulnérable aux pirates, selon les chercheurs en sécurité. Ils ont identifié une série de failles logicielles dans l’application vidéo populaire qui a ouvert la porte à une série d’attaques contre les utilisateurs.
Dans une étude publiée mercredi , la firme de cybersécurité CheckPoint a déclaré que les failles auraient pu permettre aux pirates d’envoyer des messages texte d’apparence légitime avec des liens vers des logiciels malveillants. Les attaquants auraient également pu publier ou supprimer des vidéos, rendre des vidéos privées publiques et accéder aux informations personnelles des utilisateurs, telles que les adresses et les anniversaires. Les chercheurs ont travaillé avec TikTok pour corriger les vulnérabilités en décembre.
Un porte-parole de TikTok a confirmé que la société avait corrigé tous les défauts. La société a également déclaré qu’il n’y avait aucune indication que les pirates informatiques avaient abusé des vulnérabilités. Le porte-parole a déclaré que TikTok s’était engagé à protéger les données des utilisateurs.
“Comme de nombreuses organisations, nous encourageons les chercheurs en sécurité responsables à nous divulguer en privé les vulnérabilités zero day”, a déclaré la société dans un communiqué, faisant référence à des failles de sécurité inconnues jusqu’alors. “Nous espérons que cette résolution réussie encouragera une future collaboration avec les chercheurs en sécurité.”
Bien que certaines des attaques que les chercheurs ont découvertes auraient nécessité plusieurs étapes et de nombreuses recherches à exécuter, d’autres étaient assez simples. Les défauts des réseaux sociaux, des jeux et des plates-formes de messagerie sont très recherchés par les criminels et les acteurs étatiques, a déclaré Oded Vanunu, chercheur à CheckPoint. Les entreprises juridiques qui achètent et vendent des vulnérabilités sur les principales plates-formes sont prêtes à payer plus de 1 million de dollars pour certains types de SMS et autres vulnérabilités des services de messagerie texte. Leurs clients peuvent inclure des agences gouvernementales d’espionnage et d’application de la loi dans le monde entier.
TikTok, qui opère en dehors de la Chine mais appartient à la société de technologie chinoise ByteDance, a rencontré sa part de controverse en ce qui concerne la sécurité des données des utilisateurs. Un utilisateur californien a poursuivi l’entreprise en décembre, alléguant que TikTok partageait les données des utilisateurs avec le gouvernement chinois. L’armée américaine a interdit aux membres du service d’utiliser l’application sur les téléphones du gouvernement, après avoir initialement utilisé le service pour le recrutement.
Le chercheur de CheckPoint Vanunu a déclaré que TikTok pourrait attirer des pirates ciblant ses jeunes utilisateurs, qui ne remarqueront pas nécessairement qu’ils ont été piratés ou que leurs comptes sont utilisés pour propager des logiciels plus malveillants.
“Ils peuvent être des mandataires pour des attaques supplémentaires”, a déclaré Vanunu.