Informatique

Microsoft découvre une faille de sécurité dans l’application

Microsoft découvre une faille de sécurité dans l'application Android de TikTok

En février dernier, des chercheurs de Microsoft ont découvert une faille de sécurité dans l’application Android de TikTok. Celle-ci aurait pu permettre à un attaquant de détourner le compte d’un utilisateur après que ce dernier ait cliqué sur un lien.

Heureusement, les développeurs de ByteDance, la société mère de TikTok, ont rapidement corrigé la vulnérabilité après avoir été informé de son existence. Les chercheurs de Microsoft l’ont signalé en février dernier par le biais du programme de bug bounty, selon Dimitrios Valsamaras, un chercheur de l’équipe de recherche Microsoft 365 Defender.

La faille de sécurité est désormais nommée CVE-2022-28799. Maintenant qu’un correctif est disponible, Microsoft exhorte tous les utilisateurs de TikTok sur Android à mettre à jour leur application vers la dernière version.

Vulnérable partout dans le monde

Il s’agit d’une vilaine faille dans l’interface JavaScript exposée de l’application qui pourrait être exploitée via un composant WebView de l’application TikTok Android, qui a été téléchargée 1,5 milliard de fois depuis le Google Play Store. WebView est un composant d’Android qui permet aux applications Android écrites dans les langages de programmation Java et Kotlin, compatible avec Java, d’afficher du contenu web.

« Avant la version 23.7.3, l’application TikTok pour Android permet [à un attaquant] de prendre le contrôle d’un compte. (…) Il pourrait tirer parti d’une interface JavaScript jointe pour la prise de contrôle en un clic », peut-on lire dans la fiche de la CVE-2022-28799.

Dans un article de blog, Dimitrios Valsamaras note qu’il existe deux versions de l’application TikTok sur Android. L’une (avec le nom de paquet com.ss.android.ugc.trill) est destinée à l’Asie de l’Est et du Sud-Est et l’autre (avec le nom de paquet com.zhiliaoapp.musically) est destinée aux autres régions. Les deux contiennent cette vulnérabilité.

Mettre à jour

« Nous saluons la résolution efficace et professionnelle de l’équipe de sécurité de TikTok. Les utilisateurs de TikTok sont encouragés à s’assurer qu’ils utilisent la dernière version de l’application », écrit Dimitrios Valsamaras.

La vulnérabilité provient de la façon dont les développeurs de TikTok ont implémenté les interfaces JavaScript de l’application dans WebView. L’interface peut fournir une « fonctionnalité de pont », de sorte que le code JavaScript dans une page web invoque des méthodes Java spécifiques d’une classe particulière dans l’application.

« Le chargement de contenu web non fiable dans WebView avec des objets au niveau de l’application accessibles via le code JavaScript rend l’application vulnérable à l’injection d’interface JavaScript, ce qui peut entraîner une fuite de données, une corruption de données ou, dans certains cas, une exécution de code arbitraire », explique le chercheur.

Spécifique à Android

Cependant, la vulnérabilité réelle réside dans la façon dont l’application TikTok gère un « lien profond » particulier sur Android, selon Dimitrios Valsamaras. Les développeurs peuvent utiliser des liens profonds pour accéder à un composant choisi dans une application. Lorsque les utilisateurs cliquent sur un lien profond, le gestionnaire de paquets Android vérifie toutes les applications installées pour voir laquelle peut répondre au lien profond, puis l’achemine vers la société déclarée comme étant son gestionnaire.

L’implémentation par TikTok d’interfaces JavaScript dans l’application a défini l’impact de la vulnérabilité.

« En examinant le traitement par l’application d’un lien profond spécifique, nous avons découvert plusieurs problèmes qui, lorsqu’ils étaient enchaînés, auraient pu être utilisés pour forcer l’application à charger une URL arbitraire dans la WebView de l’application », écrit le chercheur.

« Plus de 70 méthodes exposées »

Microsoft a trouvé « plus de 70 méthodes exposées » en vérifiant les fonctionnalités accessibles au code JavaScript dans les pages Web chargées dans WebView. La combinaison de la vulnérabilité avec les méthodes exposées peut donner aux attaquants des fonctionnalités supplémentaires pour visualiser et modifier les données privées des utilisateurs.

En invoquant ces méthodes, l’attaquant peut récupérer les jetons d’authentification de l’utilisateur en déclenchant une requête vers un serveur contrôlé et en enregistrant le cookie et les en-têtes de la requête. L’attaquant peut également récupérer ou modifier les données du compte TikTok de l’utilisateur, comme les vidéos privées et les paramètres du profil.

« En bref, en contrôlant l’une des méthodes capables d’effectuer des requêtes HTTP authentifiées, un acteur malveillant aurait pu compromettre un compte utilisateur TikTok », met en garde le chercheur.

Mauvaise idée

Microsoft estime plus généralement que l’utilisation par les développeurs d’interfaces JavaScript est une mauvaise idée et présente des risques importants, car la compromission de cette interface peut potentiellement permettre aux attaquants d’exécuter du code en utilisant l’identifiant et les privilèges de l’application. Microsoft a précédemment détaillé les failles causées par les interfaces JavaScript dans plusieurs applications Android populaires.

Microsoft recommande aux développeurs d’utiliser plutôt une « liste approuvée de domaines de confiance à charger dans la WebView de l’application pour empêcher le chargement de contenu Web malveillant ou non fiable ».

Google a également publié une page pour les développeurs d’applications Android afin de remédier aux vulnérabilités d’injection d’interface JavaScript.

Source : ZDNet.com




Source link

Articles similaires

Bouton retour en haut de la page