TT : Principales failles de sécurité de TikTok trouvées

TEL AVIV – TikTok, l’application pour smartphone appréciée des adolescents et utilisée par des centaines de millions de personnes dans le monde, présentait de graves vulnérabilités qui auraient permis aux pirates informatiques de manipuler les données des utilisateurs et de révéler des informations personnelles, selon une étude publiée mercredi par Check Point, un société de cybersécurité en Israël.

Les faiblesses auraient permis aux attaquants d’envoyer aux utilisateurs de TikTok des messages contenant des liens malveillants. Une fois que les utilisateurs ont cliqué sur les liens, les attaquants auraient pu prendre le contrôle de leurs comptes, y compris le téléchargement de vidéos ou l’accès à des vidéos privées. Une faille distincte a permis aux chercheurs de Check Point de récupérer des informations personnelles à partir des comptes d’utilisateurs de TikTok via le site Web de l’entreprise.

«Les vulnérabilités que nous avons découvertes étaient toutes au cœur des systèmes de TikTok», a déclaré Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits à Check Point.

TikTok a pris connaissance des conclusions de la recherche de Check Point le 20 novembre et a déclaré qu’il avait corrigé toutes les vulnérabilités d’ici le 15 décembre.

L’application, dont la société mère est basée à Pékin, a été surnommée «le dernier coin ensoleillé d’Internet». Il permet aux utilisateurs de publier de courtes vidéos créatives, qui peuvent facilement être partagées sur diverses applications.

Il est également devenu la cible des législateurs et des régulateurs qui se méfient de la technologie chinoise. Plusieurs branches de l’armée américaine ont interdit au personnel d’avoir l’application sur les smartphones émis par le gouvernement. Les vulnérabilités découvertes par Check Point sont susceptibles d’aggraver ces préoccupations.

TikTok a explosé en popularité au cours des deux dernières années, devenant une rare réussite chinoise sur Internet en Occident. Il a été téléchargé plus de 1,5 milliard de fois, selon la société de données Sensor Tower. Vers la fin de 2019, la firme de recherche a déclaré que TikTok semblait être sur la voie de plus de téléchargements pour l’année que les applications les plus connues de Facebook, Instagram, YouTube et Snap.

Mais de nouvelles applications comme TikTok offrent des opportunités aux pirates informatiques qui cherchent à cibler des services qui n’ont pas été testés par des années de recherche sur la sécurité et d’attaques réelles. Et bon nombre de ses utilisateurs sont jeunes et ne sont peut-être pas conscients des mises à jour de sécurité.

TikTok s’engage à protéger les données des utilisateurs”, a déclaré Luke Deshotels, membre de l’équipe de sécurité de TikTok.

«Comme de nombreuses organisations, nous encourageons les chercheurs en sécurité responsables à nous divulguer en privé les vulnérabilités zero day», a-t-il ajouté. «Avant la divulgation publique, Check Point a convenu que tous les problèmes signalés avaient été corrigés dans la dernière version de notre application. Nous espérons que cette résolution réussie encouragera une future collaboration avec les chercheurs en sécurité. »

M. Deshotels a déclaré qu’il n’y avait aucune indication dans les dossiers des clients qu’une violation ou une attaque s’était produite.

La société mère de TikTok, ByteDance, est l’une des start-ups technologiques les plus précieuses au monde. Mais la popularité de TikTok et ses racines en Chine, où aucune grande entreprise ne peut prospérer en dehors des bonnes grâces du gouvernement, ont incité un examen approfondi des politiques de contenu et des pratiques de données de l’application.

Les législateurs américains se sont dits préoccupés par le fait que TikTok censure les documents que le gouvernement chinois n’aime pas et autorise Pékin à collecter les données des utilisateurs. TikTok a nié les deux accusations. La société affirme également que bien que le siège social de ByteDance soit à Pékin, les directeurs régionaux de TikTok jouissent d’une autonomie significative sur les opérations.

L’unité de renseignement de Check Point a examiné à quel point il serait facile de pirater les comptes d’utilisateurs de TikTok. Il a constaté que diverses fonctions de l’application, notamment l’envoi de fichiers vidéo, présentaient des problèmes de sécurité.

Nouveau :   TT : Warren Buffett a conseillé aux diplômés de lire, d'apprendre à s'exprimer et, influenceur

«Je m’attendrais à ce type de vulnérabilités dans une entreprise comme TikTok, qui est probablement plus axée sur une croissance énorme et sur la création de nouvelles fonctionnalités pour leurs utilisateurs, plutôt que sur la sécurité», a déclaré Christoph Hebeisen, chef de la recherche chez Lookout, une autre cybersécurité. compagnie.

Une vulnérabilité a permis aux attaquants d’utiliser un lien dans le système de messagerie de TikTok pour envoyer aux utilisateurs des messages qui semblaient provenir de TikTok. Les chercheurs de Check Point ont testé la faiblesse en s’envoyant des liens avec des logiciels malveillants qui leur permettaient de contrôler les comptes, de télécharger du contenu, de supprimer des vidéos et de rendre publiques des vidéos privées.

Les chercheurs ont également découvert que le site de TikTok était vulnérable à un type d’attaque qui injecte du code malveillant dans des sites Web de confiance. Les chercheurs de Check Point ont pu récupérer les informations personnelles des utilisateurs, y compris les noms et les dates de naissance.

Check Point a envoyé un résumé de ses conclusions au Département de la sécurité intérieure des États-Unis.

Le Comité sur les investissements étrangers aux États-Unis, un panel qui examine les accords d’investissement pour des raisons de sécurité nationale, étudie également l’acquisition par ByteDance en 2017 de Musical.ly, une application de synchronisation labiale que la société a ensuite fusionnée avec TikTok. Cet accord a ouvert la voie à la montée rapide de TikTok aux États-Unis et en Europe.

Il existe également des préoccupations concernant les pratiques de confidentialité des données de l’entreprise. En février, la Federal Trade Commission a déposé une plainte contre TikTok, affirmant qu’elle avait collecté illégalement des informations personnelles sur des mineurs. La plainte alléguait que Musical.ly avait violé la loi sur la protection de la vie privée des enfants en ligne, qui oblige les sites Web et les sociétés en ligne à demander aux enfants de moins de 13 ans d’obtenir le consentement des parents avant que les sociétés ne collectent des informations personnelles.

TikTok a accepté de payer 5,7 millions de dollars pour régler la plainte et a déclaré qu’il respecterait la COPPA. TikTok fait toujours l’objet d’une enquête par le bureau du commissaire britannique à l’information pour déterminer s’il a enfreint les lois européennes sur la protection de la vie privée qui offrent des protections spéciales aux mineurs et à leurs données.

Ronen Bergman a rapporté de Tel Aviv, Sheera Frenkel de San Francisco et Raymond Zhong de Hong Kong.

C’était: Principales failles de sécurité de TikTok trouvées

#Principales #failles #sécurité #TikTok #trouvées
2020-05-21 07:54:00

Happy
Happy
%
Sad
Sad
%
Excited
Excited
%
Sleepy
Sleepy
%
Angry
Angry
%
Surprise
Surprise
%

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Laisser un commentaire

%d blogueurs aiment cette page :