{"id":342974,"date":"2022-09-01T06:58:29","date_gmt":"2022-09-01T08:58:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/microsoft-decouvre-un-grave-exploit-one-click-pour-lapplication-android-tiktok\/"},"modified":"2022-09-01T06:58:31","modified_gmt":"2022-09-01T08:58:31","slug":"microsoft-decouvre-un-grave-exploit-one-click-pour-lapplication-android-tiktok","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/microsoft-decouvre-un-grave-exploit-one-click-pour-lapplication-android-tiktok\/","title":{"rendered":"Microsoft d\u00e9couvre un grave exploit \u00ab One-Click \u00bb pour l&#8217;application Android TikTok"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Microsoft a d\u00e9voil\u00e9 mercredi les d\u00e9tails d&#8217;une &#8220;vuln\u00e9rabilit\u00e9 de haute gravit\u00e9&#8221; d\u00e9sormais corrig\u00e9e dans l&#8217;application TikTok pour Android qui pourrait permettre aux attaquants de prendre le contr\u00f4le des comptes lorsque les victimes cliquent sur un lien malveillant.<\/p>\n<p>&#8220;Les attaquants auraient pu exploiter la vuln\u00e9rabilit\u00e9 pour d\u00e9tourner un compte \u00e0 l&#8217;insu des utilisateurs si un utilisateur cibl\u00e9 cliquait simplement sur un lien sp\u00e9cialement con\u00e7u&#8221;, Dimitrios Valsamaras de l&#8217;\u00e9quipe de recherche Microsoft 365 Defender. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/security\/blog\/2022\/08\/31\/vulnerability-in-tiktok-android-app-could-lead-to-one-click-account-hijacking\/\" target=\"_blank\">a dit<\/a> dans un \u00e9crit.<\/p>\n<p>L&#8217;exploitation r\u00e9ussie de la faille aurait pu permettre \u00e0 des acteurs malveillants d&#8217;acc\u00e9der et de modifier les profils TikTok et les informations sensibles des utilisateurs, conduisant \u00e0 l&#8217;exposition non autoris\u00e9e de vid\u00e9os priv\u00e9es.  Les attaquants pourraient \u00e9galement avoir abus\u00e9 du bogue pour envoyer des messages et t\u00e9l\u00e9charger des vid\u00e9os au nom des utilisateurs.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Le probl\u00e8me, r\u00e9solu dans la version 23.7.3, affecte deux variantes de son application Android com.ss.android.ugc.trill (pour les utilisateurs d&#8217;Asie de l&#8217;Est et du Sud-Est) et com.zhiliaoapp.musically (pour les utilisateurs d&#8217;autres pays, \u00e0 l&#8217;exception de l&#8217;Inde, o\u00f9 c&#8217;est interdit).  Combin\u00e9es, les applications comptent plus de 1,5 milliard d&#8217;installations entre elles.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Application Android TikTok\" border=\"0\" data-original-height=\"457\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1662022709_976_Microsoft-decouvre-un-grave-exploit-One-Click-pour-lapplication.jpg\" title=\"Application Android TikTok\" \/><\/div>\n<p>Suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-28799\" target=\"_blank\">CVE-2022-28799<\/a> (score CVSS\u00a0: 8,8), la vuln\u00e9rabilit\u00e9 est li\u00e9e \u00e0 la gestion par l&#8217;application de ce qu&#8217;on appelle un lien profond, un lien hypertexte sp\u00e9cial qui permet aux applications d&#8217;ouvrir une ressource sp\u00e9cifique dans une autre application install\u00e9e sur l&#8217;appareil plut\u00f4t que de diriger les utilisateurs vers un site Web.<\/p>\n<p>&#8220;Une URL sp\u00e9cialement con\u00e7ue (lien profond non valid\u00e9) peut forcer la WebView com.zhiliaoapp.musically \u00e0 charger un site Web arbitraire&#8221;, selon un avis sur la faille.  &#8220;Cela peut permettre \u00e0 un attaquant d&#8217;exploiter une interface JavaScript attach\u00e9e pour la prise de contr\u00f4le en un seul clic.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Application Android TikTok\" border=\"0\" data-original-height=\"674\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1662022709_6_Microsoft-decouvre-un-grave-exploit-One-Click-pour-lapplication.jpg\" title=\"Application Android TikTok\" \/><\/div>\n<p>En termes simples, la faille permet de contourner les restrictions des applications pour rejeter les h\u00f4tes non fiables et charger n&#8217;importe quel site Web du choix de l&#8217;attaquant via le syst\u00e8me Android. <a rel=\"nofollow noopener\" href=\"https:\/\/developer.android.com\/reference\/android\/webkit\/WebView\" target=\"_blank\">WebView<\/a>un m\u00e9canisme permettant d&#8217;afficher du contenu Web sur d&#8217;autres applications.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Le filtrage a lieu c\u00f4t\u00e9 serveur et la d\u00e9cision de charger ou de rejeter une URL est bas\u00e9e sur la r\u00e9ponse re\u00e7ue d&#8217;une requ\u00eate HTTP GET particuli\u00e8re&#8221;, a expliqu\u00e9 Valsamaras, ajoutant que l&#8217;analyse statique &#8220;indique qu&#8217;il est possible de contourner le serveur -c\u00f4t\u00e9 v\u00e9rification en ajoutant deux param\u00e8tres suppl\u00e9mentaires au lien profond.&#8221;<\/p>\n<p>Une cons\u00e9quence de cet exploit con\u00e7u pour d\u00e9tourner WebView pour charger des sites Web escrocs est qu&#8217;il pourrait permettre \u00e0 l&#8217;adversaire d&#8217;invoquer plus de 70 points de terminaison TikTok expos\u00e9s, compromettant ainsi l&#8217;int\u00e9grit\u00e9 du profil d&#8217;un utilisateur.  Il n&#8217;y a aucune preuve que le bogue a \u00e9t\u00e9 transform\u00e9 en arme dans la nature.<\/p>\n<p>&#8220;Du point de vue de la programmation, l&#8217;utilisation d&#8217;interfaces JavaScript pr\u00e9sente des risques importants&#8221;, a not\u00e9 Microsoft.  &#8220;Une interface JavaScript compromise peut potentiellement permettre aux attaquants d&#8217;ex\u00e9cuter du code en utilisant l&#8217;ID et les privil\u00e8ges de l&#8217;application.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/microsoft-discover-severe-one-click.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft a d\u00e9voil\u00e9 mercredi les d\u00e9tails d&#8217;une &#8220;vuln\u00e9rabilit\u00e9 de haute gravit\u00e9&#8221; d\u00e9sormais corrig\u00e9e dans l&#8217;application TikTok pour Android qui pourrait permettre aux attaquants de prendre le contr\u00f4le des comptes lorsque les victimes cliquent sur un lien malveillant. &#8220;Les attaquants auraient pu exploiter la vuln\u00e9rabilit\u00e9 pour d\u00e9tourner un compte \u00e0 l&#8217;insu des utilisateurs si un utilisateur [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":342975,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8738,4168,4158,4165,4161,12680,3010,11184,4157,4159,4171,4170,838,4167,8362,4160,4163,4162,105162,185,4172,4169,12755,4166,4164],"class_list":["post-342974","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-android","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouvre","tag-exploit","tag-grave","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lapplication","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-oneclick","tag-pour","tag-securite-informatique","tag-securite-internet","tag-tiktok","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/342974","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=342974"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/342974\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/342975"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=342974"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=342974"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=342974"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}