L’une des applications de médias sociaux les plus populaires fait l’objet d’un examen plus approfondi des fuites de données, car une éventuelle violation de la sécurité de TikTok qui pourrait affecter plus d’un milliard d’utilisateurs a été découverte.
Lundi, plusieurs spécialistes de la cybersécurité ont tweeté à propos de la prétendue découverte d’une vulnérabilité de serveur non protégée qui permettait d’accéder au stockage de TikTok, qui, selon eux, contenait des données personnelles des utilisateurs. Il y a quelques jours seulement, Microsoft Corp. annoncé la découverte d’une “vulnérabilité de haute gravité”, qui peut provoquer une violation de TikTok sur l’application Android, “qui aurait permis aux attaquants de compromettre les comptes des utilisateurs en un seul clic”.
TikTok, de ByteDance Ltd., a dépassé le milliard d’utilisateurs mensuels il y a un an et est maintenant l’application préférée de nombreux jeunes. En conséquence, c’est une cible attrayante pour les pirates qui cherchent à voler des comptes populaires ou à revendre des informations critiques. L’administration Trump l’a classé comme un danger pour la vie privée en 2020 et l’a presque interdit en raison de préoccupations concernant les liens potentiels entre sa société mère basée à Pékin et le gouvernement chinois.
La violation de la sécurité de TikTok a été minimisée par la firme
TikTok a déclaré que les informations faisant état d’une violation détectée au cours du week-end étaient fausses. Selon un représentant, “Notre équipe de sécurité a enquêté sur cette déclaration et a déterminé que le code en question n’a aucun rapport avec le code source principal de TikTok.”
Troy Hunt, un analyste australien de la sécurité en ligne, a examiné certains des échantillons de données volés et a découvert des similitudes entre les profils d’utilisateurs et les films soumis sous ces identifiants. Cependant, une partie des informations contenues dans la fuite était “des données accessibles au public qui auraient pu être construites sans violation”. Il posté sur Twitter que :
«Ce n’est jusqu’à présent pas concluant; certaines données correspondent aux informations de production, bien qu’elles soient accessibles au public. Certaines données sont indésirables, mais il peut s’agir de données hors production ou de test. C’est un peu mitigé jusqu’à présent.
Microsoft a découvert une vulnérabilité plus étroite qui aurait pu affecter les téléphones mobiles sous Android. Il peut avoir donné aux attaquants l’accès et la modification des “profils TikTok et des informations sensibles, par exemple en publiant des vidéos privées, en envoyant des messages et en téléchargeant des vidéos au nom des utilisateurs”, a déclaré Dimitrios Valsamaras de l’équipe de recherche Microsoft 365 Defender. Selon une porte-parole de TikTok, l’entreprise a immédiatement réagi aux conclusions de Microsoft et corrigé la faille de sécurité découverte “dans certaines anciennes versions de l’application Android”.
Les fuites de données causées par TikTok sont une grave préoccupation pour les États-Unis
Indépendamment du caractère peu concluant ou mineur des défauts, TikTok et sa société mère seront examinés de près à un moment où les États-Unis pourraient durcir leurs sanctions contre les entreprises ayant des liens avec la Chine. En juin, neuf sénateurs américains ont exigé que le PDG de TikTok explique les prétendues failles de sécurité dans un lettre publique.
Le président Joe Biden est sur le point de signer un décret exécutif restreignant les investissements américains dans les entreprises technologiques chinoises, et une mesure distincte ciblant TikTok est possible, l’administration surveillant attentivement si le gouvernement chinois a accès aux données des utilisateurs américains. La société a informé le Congrès américain qu’elle avait pris des précautions pour protéger ces données grâce à un accord avec Oracle Corp.
“Il y a beaucoup d’attention sur la façon dont TikTok fonctionne et il y a un grand écart entre la façon dont il fonctionne et la façon dont il dit qu’il fonctionne”, a déclaré Robert Potter, co-PDG de l’entreprise de cybersécurité australo-américaine Internet 2.0 Inc. Dans un étude publiée en juillet, l’équipe de Potter a déclaré avoir découvert une “récolte excessive de données” par TikTok sur les appareils des utilisateurs, que l’application vérifie la position de l’appareil au moins une fois par heure et qu’elle contient un code qui rassemble les numéros de série de l’appareil et de la carte SIM. . TikTok a rejeté les conclusions, affirmant qu’elles “déformaient la quantité de données que nous collectons”.
3/ Internet2.0 déforme la quantité de données que nous collectons. Par exemple, nous ne collectons pas l’IMEI de l’appareil utilisateur, le numéro de série de la carte SIM, les informations d’abonnement actif ou le numéro d’identification de la carte à circuit intégré, et nous ne collectons pas l’emplacement GPS précis.
– TikTokComms (@TikTokComms) 18 juillet 2022
La nouvelles a attiré l’attention en Australie, et Clare O’Neil, la nouvelle ministre de l’Intérieur, a révélé lundi qu’elle avait demandé à son agence d’examiner quelles données TikTok collecte et qui y a accès. O’Neil a déclaré dans des remarques envoyées par courrier électronique que :
«Nous avons ce problème fondamental ici où nous avons des entreprises technologiques basées dans des pays ayant une approche plus autoritaire du secteur privé. TikTok n’est ni le début ni la fin de tout cela. C’est l’un des très nombreux problèmes soulevés par ces entreprises technologiques très dominantes et le rôle qu’elles jouent dans nos vies.
TikTok pourrait être un “keylogging” qui peut provoquer des fuites de données
Une autre étude Le mois dernier, le chercheur en sécurité Felix Krause s’est concentré sur les navigateurs intégrés à l’application, qui a créé un outil pour vérifier ce que font les programmes dans WebView. L’étude, qui s’est concentrée sur les vulnérabilités des applications mobiles utilisant des navigateurs intégrés, a examiné environ 25 des applications iOS les plus populaires et a découvert que TikTok utilisait une approche d’enregistrement de frappe dans son navigateur intégré. Selon Krause, “TikTok iOS s’abonne à chaque frappe (entrées de texte) qui se produit sur des sites Web tiers rendus dans l’application TikTok. Cela peut inclure des mots de passe, des informations de carte de crédit et d’autres données utilisateur sensibles.
Il a également observé que la version iOS de TikTok utilisait du code JavaScript pour analyser ce sur quoi l’utilisateur avait cliqué. Alors que Krause a admis qu’il n’avait aucune idée de ce que TikTok fait avec l’abonnement, il a affirmé que la réponse de TikTok dans un Article Forbes démontré qu’il a une capacité d’enregistrement de frappe. TikTok a répondu à TechTarget dans une déclaration indiquant que les conclusions du rapport sont incorrectes et trompeuses : “Le chercheur dit spécifiquement que le code JavaScript ne signifie pas que notre application fait quelque chose de malveillant et admet qu’il n’a aucun moyen de savoir quel type de données notre navigateur intégré à l’application collecte. Contrairement aux affirmations du rapport, nous ne collectons pas les entrées de frappe ou de texte via ce code, qui est uniquement utilisé pour le débogage, le dépannage et la surveillance des performances.
Cependant, les experts en sécurité de l’information estiment que l’utilisation par TikTok de l’enregistrement de frappe pour le débogage est limitée. Par exemple, le dépannage est souvent fourni par le système d’exploitation plutôt que par le logiciel, selon Chester Wisniewski, chercheur principal chez Sophos. Apple, par exemple, serait responsable des problèmes d’iPhone et de Google pour les problèmes d’Android, car ils utilisent respectivement Safari et Chrome.
Selon Nick DeLena, partenaire du cabinet de conseil DGC spécialisé dans la cybersécurité et la confidentialité, l’enregistrement de frappe est souvent considéré comme une violation de la vie privée, et lorsqu’une application ou un service s’avère l’employer, ils sont généralement contraints d’utiliser un autre moyen de débogage. . Selon DeLena, le risque avec le logiciel de TikTok est particulièrement important car le gouvernement chinois détient une participation dans la société mère de TikTok, ByteDance.
Que ou si TikTok utilise uniquement la capacité de débogage, cela peut toujours représenter un risque de sécurité pour les organisations. Selon Tim Mackey, stratège en chef de la sécurité chez Synopsys, si le programme est utilisé au travail, des informations sensibles sur l’entreprise peuvent être incluses dans le paquet de données d’enregistrement de frappe. Alors que de nombreuses entreprises empêchent le téléchargement de certaines applications ou services sur les appareils professionnels, la gestion de la main-d’œuvre à distance croissante peut être problématique. La transition a creusé le fossé entre le travail et la vie personnelle.
Wisniewski a souligné que les gens utilisent de plus en plus des téléphones ou des tablettes personnels pour des tâches liées au travail et peuvent ne pas être conscients des risques potentiels, en disant : « Cela ne prend qu’une minute pour être confus quant à savoir si vous êtes actuellement dans le navigateur Web de l’entreprise, ou si vous pourriez être dans le navigateur TikTok intégré à l’application par accident et commencer à faire des choses pour l’entreprise, et c’est un risque énorme de fuite de données.
Nous espérons que vous avez apprécié cet article sur une éventuelle violation de TikTok qui soulève des questions sur les fuites de données et la sécurité. Si vous l’avez fait, nous sommes sûrs que vous apprécierez également la lecture de certains de nos autres articles, tels que le correctif de faille de sécurité Apple iPhone pour le bogue zero-day a été publié, ou la vulnérabilité Zoom Mac permet aux pirates d’accéder à distance.
Source: Une éventuelle violation de TikTok soulève des questions sur les fuites de données et la sécurité
