TikTok, nouvelle faille de sécurité : les vidéos peuvent être remplacées via une attaque DNS

    TikTok, nouvelle faille de sécurité : les vidéos peuvent être remplacées via une attaque DNS

    La popularité a aussi un côté sombre. En attirant l'attention, des failles de sécurité majeures peuvent être découvertes qui mettent en danger la vie privée des utilisateurs. Zoom et TikTok le savent bien. Ce dernier est à nouveau passé sous la loupe de deux développeurs iOS (Mysk) qui ont montré à quel point c'est Il est possible de remplacer les vidéos et images sur la plateforme par d'autres contenus permettant simplement à l'application de se connecter à un autre serveur.


    Comment est-ce possible? TikTok utilise la norme HTTP - au détriment du HTTPS plus sécurisé - qui établit une connexion avec le Content Delivery Network (CDN) de l'entreprise. L'utilisation de cette norme améliore les performances de transfert de données, mais met en danger la sécurité et la confidentialité des utilisateurs en raison du manque de cryptage. Apparemment, l'application ne transporte que du contenu via HTTP : vidéos, photos de profil et images miniatures de vidéo. Pratiquement tous les principaux contenus sur lesquels repose le succès de l'application.


    Tout cela permet donc aux attaquants de mener des attaques dites MITM (man-in-the-middle) à travers lesquelles - comme son nom l'indique - ils peuvent empiéter sur la connexion et la rediriger vers vos propres serveurs. Les deux développeurs ont exploité cette vulnérabilité et remplacé les vidéos postées par les utilisateurs de TikTok par des contenus différents via une attaque DNS sur un réseau local. Pour montrer l'étendue de la faille, ils ont montré le remplacement de vidéos publiées par l'OMS, la Croix-Rouge britannique et américaine par des vidéos contenant de fausses nouvelles sur COVID-19.

    Nous soulignons que les intentions des développeurs étaient uniquement de montrer que tout cela est possible, de sorte que les contenus n'étaient vus que par les quelques utilisateurs connectés directement à leur serveur. Par conséquent, aucune fausse information n'a été partagée au nom des organisations « piratées ». Cependant, cela suffit pour préciser le danger d'une telle vulnérabilité. Tous les détails de la découverte Mysk sont disponibles.



    En achetant un P40 Pro avant le 4 mai, vous le recevrez la smartwatch Huawei Watch GT 2 en cadeau. Smartphone disponible sur. 

    ajouter un commentaire de TikTok, nouvelle faille de sécurité : les vidéos peuvent être remplacées via une attaque DNS
    Commentaire envoyé avec succès ! Nous l'examinerons dans les prochaines heures.