Les chercheurs en sécurité Tommy Mysk et Talal Haj Bakry ont découvert une vulnérabilité dans TikTok qui pourrait permettre aux pirates de poster des vidéos au nom d’autres personnes. Ils ont publié des vidéos dans plusieurs comptes populaires sur TikTok, dont le compte officiel de l’OMS. Une fausse vidéo sur le coronavirus COVID-19 est apparue sur le profil de l’Organisation mondiale de la santé.
Le problème est que le réseau social utilise le protocole HTTP non crypté au lieu du protocole HTTPS, plus sûr. C’est pourquoi les propriétaires de réseaux Wi-Fi publics, les fournisseurs d’accès à Internet et les services gouvernementaux peuvent recevoir l’historique de navigation de tous les utilisateurs de TikTok, notent les chercheurs.
En raison de l’utilisation du protocole HTTP, le réseau social se prête aux attaques des pirates informatiques. Les chercheurs ont pu modifier le contenu et remplacer les vraies vidéos de l’utilisateur par des fausses en menant une attaque DNS sur le réseau. Après cela, ils ont publié une vidéo montrant comment ils ont mis la vidéo avec les fausses informations sur le compte vérifié de l’OMS.
Les développeurs n’ont pas remplacé les vidéos sur le serveur TikTok, mais uniquement sur le réseau domestique. Cela signifie que seuls les utilisateurs qui utilisent leur routeur verront les changements. Toutefois, les chercheurs pensent que la vulnérabilité peut être exploitée à plus grande échelle si des pirates informatiques pénètrent dans le serveur DNS populaire.
Début 2020, Check Point a découvert une vulnérabilité qui permettait aux pirates de gérer les comptes d’autres personnes sur TikTok. Après cela, l’équipe de Mysk et Bakri a trouvé un problème de sécurité qui permettait d’accéder au presse-papiers de l’iPhone.
L’utilisation du protocole HTTP pour transférer des données sensibles n’a malheureusement pas encore disparu. Comme démontré, le HTTP ouvre la porte à l’usurpation d’identité et à la manipulation de données. Nous avons réussi à intercepter le trafic de TikTok. Et nous avons trompé l’application pour qu’elle montre nos propres vidéos comme si elles étaient publiées par des comptes populaires et vérifiés. C’est un outil parfait pour ceux qui tentent sans relâche de polluer l’internet avec des faits trompeurs. TikTok, un géant des réseaux sociaux qui compte environ 800 millions d’utilisateurs actifs par mois. Ils doivent se conformer aux normes du secteur en matière de confidentialité et de protection des données ». ont déclaré les chercheurs.