Microsoft a révélé une vulnérabilité dans les applications mobiles de TikTok pour Android que des pirates auraient pu exploiter pour prendre le contrôle du compte d’une personne en un seul clic.

« Les attaquants auraient pu exploiter la vulnérabilité pour détourner un compte à l’insu des utilisateurs si un utilisateur ciblé avait simplement cliqué sur un lien spécialement conçu », explique Microsoft. « Les attaquants auraient alors pu accéder aux profils TikTok et aux informations sensibles des utilisateurs et les modifier, notamment en rendant publiques des vidéos privées, en envoyant des messages et en téléchargeant des vidéos au nom des utilisateurs. »

La faille aurait été présente dans les deux versions de l’application TikTok pour Android – une pour l’Asie de l’Est et du Sud-Est et une pour tout le reste – avant d’être divulguée en février. Microsoft affirme que ces apps comptent plus de 1,5 milliard de téléchargements combinés.

« L’application TikTok avant la version 23.7.3 pour Android permet la prise de contrôle de comptes », déclare TikTok dans l’entrée de la base de données Mitre pour CVE-2022-28799. « Une URL modifiée peut forcer le WebView com.zhiliaoapp.musically à charger un site Web arbitraire. Cela peut permettre à un attaquant de tirer parti d’une interface JavaScript jointe pour la prise de contrôle en un clic. »

Microsoft indique que la vulnérabilité « a été corrigée et que nous n’avons pas trouvé de preuve d’exploitation dans la nature. » La société conseille aux utilisateurs de TikTok pour Android de s’assurer qu’ils utilisent la version la plus récente de l’application.

TikTok a publié la version 23.7.3 pour Android le 22 mars, selon Softpedia, donc les utilisateurs dont les mises à jour automatiques sont activées devraient déjà avoir une version plus récente de l’application installée.