Les adolescents et les enfants sont les principaux utilisateurs de TikTok. Ils partagent, stockent et conservent des vidéos privées (et parfois particulièrement sensibles) d’eux-mêmes ou des êtres qui leur sont chers. Les recherches effectuées par Check Point Research ont découvert qu’un pirate était en mesure d’envoyer à un utilisateur un message SMS usurpé contenant un lien malveillant. En cas d’activation du lien malveillant par l’utilisateur, le malfaiteur avait la possibilité de prendre le contrôle du compte TikTok et de manipuler son contenu en effaçant des vidéos, en téléchargeant des vidéos frauduleuses et en rendant publiques des vidéos privées ou “cachées”.

Les recherches ont également révélé que le sous-domaine TikTok, https://ads.tiktok.com, était vulnérable aux attaques XSS, un type d’attaque via lequel des scripts malveillants sont injectés dans des sites Internet en temps normal inoffensifs et dignes de confiance. Les chercheurs de Check Point ont montré que cette vulnérabilité pouvait être utilisée afin de retrouver des informations personnelles sauvegardées sur les comptes utilisateur, en ce compris des adresses de courriel privé et des dates de naissance.

Check Point Research a porté les vulnérabilités exposées lors de ses recherches à la connaissance des développeurs de TikTok. Un correctif a alors été déployé afin que les utilisateurs de l’appli TikTok puissent continuer à l’utiliser en toute sécurité.

« Les données sont omniprésentes mais les violations de données sont en passe de se transformer en véritable épidémie. Nos dernières recherches démontrent que les applis les plus prisées continuent d’être menacées », déclare Oded Vanunu, responsable du département Product Vulnerability Research de Check Point. « Les applications de type réseaux sociaux font l’objet de tentatives intensives de détection de vulnérabilités dans la mesure où elles constituent une bonne source de données privées et procurent une intéressante voie d’accès pour des attaques. Les malfaiteurs dépensent des sommes considérables et consentent d’importants efforts en vue d’infiltrer ce genre d’applications très répandues. Malgré cela, la plupart des utilisateurs considèrent comme acquis que l’appli qu’ils utilisent les protège. »

« TikTok est résolu à protéger les données des utilisateurs », déclare Luke Deshotels, membre de l’équipe de sécurité de TikTok. « A l’instar de nombreuses entreprises, nous encourageons les chercheurs en sécurité, conscients de leurs responsabilités, à nous signaler confidentiellement les vulnérabilités zero day. Avant sa divulgation au grand pubic, Check Point avait reconnu que tous les problèmes signalés avaient été résolus par des correctifs dans la dernière version en date de notre appli. Nous espérons que ce dénouement positif encouragera de futures collaborations avec des chercheurs en sécurité. »

Disponible dans plus de 150 pays et utilisé dans 75 langues à travers le monde par plus d’un milliard de personnes, TikTok est sans conteste l’une des applis les plus téléchargées. A compter d’octobre 2019, TikTok était l’appli la plus téléchargée aux Etats-Unis, devenant ainsi la première appli chinoise à avoir atteint un tel résultat.