Mercredi 31 août, Microsoft a déclaré avoir découvert une faille dans l'application Android de TikTok. Le géant américain précise avoir informé TikTok de cette faille de sécurité en février 2022. Le réseau social détenu par ByteDance aurait depuis corrigé la faille. Celle-ci est répertoriée sous le nom de CVE-2022-28799.

Une vulnérabilité dans l'application Android de TikTok

Selon la déclaration de Microsoft, il s'agirait d'une faille de sécurité dans l'interface JavaScript exposée de l'application Android. Une vulnérabilité qui pouvait être exploitée avec un composant WebView de l'application TikTok Android (une app qui a tout de même été téléchargée 1,5 milliard de fois depuis le Google Play Store). Pour bien comprendre, il faut savoir que WebView est un composant d'Android qui permet aux applications écrites dans les langages de programmation Java et Kotlin, d'afficher du contenu web.

Microsoft précise dans sa déclaration qu'avant la publication de la version 23.7.3, « l'application TikTok pour Android permettait à un attaquant de prendre le contrôle d'un compte. Il pouvait tirer parti d'une interface JavaScript jointe pour la prise de contrôle en un seul clic ». Il existe deux versions de l'application TikTok sur Android : la première est destinée à l'Asie de l'Est et du Sud-Est et l'autre aux autres régions du monde. Les deux versions contenaient cette vulnérabilité.

Une erreur des développeurs ?

Microsoft a tenu à saluer « la résolution efficace et professionnelle de l'équipe de sécurité de TikTok ». La faille de sécurité a rapidement été identifiée et traitée par le réseau social. Les utilisateurs de la version Android de TikTok sont encouragés à utiliser la dernière version de l'application. Selon Dimitrios Valsamaras, un chercheur de l'équipe de recherche Microsoft 365 Defender, « la vulnérabilité provient de la façon dont les développeurs de TikTok ont implémenté les interfaces JavaScript de l'application dans WebView ».

Concrètement, avec cette vulnérabilité, les cybercriminels pouvaient forcer l'application à charger une URL arbitraire dans le WebView. Les chercheurs précisent que le chargement de contenu web non fiable dans WebView avec des objets au niveau de l'application accessibles grâce au code JavaScript, rend l'application « vulnérable à l'injection d'interface JavaScript, ce qui peut entraîner une fuite de données, une corruption de données ou, dans certains cas, une exécution de code arbitraire ».

Pour faire simple, en contrôlant l'une des méthodes capables d'effectuer des requêtes HTTP authentifiées, un acteur malveillant aurait pu compromettre un compte utilisateur TikTok. Ce ne sont pas les premières failles découvertes sur le réseau social. En 2020, deux autres vulnérabilités avaient été révélées par des chercheurs en cybersécurité. L'une d'entre elles permettait d’envoyer un message à des utilisateurs de TikTok en utilisant l’apparence de l’application. Le message contenait un malware dissimulé derrière un lien. Si le lien était cliqué, l'attaquant pouvait alors prendre le contrôle du compte.