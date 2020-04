Une enquête menée par Talal Haj Bakry et Tommy Mysk a révélé que la prise en charge rétrocompatible de HTTP dans iOS et Android permet d’intercepter et de modifier les données d’applications populaires telles que TikTok.



Alors que la plupart des applications ont effectué la transition vers HTTPS, la recherche a découvert que TikTok sur iOS et Android utilise toujours HTTP non chiffré pour télécharger le contenu multimédia. Par conséquent, TikTok hérite de toutes les vulnérabilités HTTP connues et bien documentées.

Apple a introduit App Transport Security dans iOS 9, exigeant que toutes les connexions HTTP utilisent un protocole HTTPS chiffré. Google a également modifié la configuration de sécurité réseau par défaut dans Android Pie pour bloquer tout le trafic HTTP en texte brut. Cependant, des vulnérabilités HTTP existent toujours, car Apple et Google continuent d’offrir aux développeurs un moyen de désactiver HTTPS pour une compatibilité descendante.

Nous avons trompé #TikTok pour nous connecter à notre faux serveur. Nous avons détourné la chronologie pour que l’application affiche des vidéos de spam sur # COVID19 # Security #Cybersecurity #Hacking

Pour plus d’informations à ce sujet: https://t.co/0e7RGyleIW pic.twitter.com/49BbkYbunq – Mysk (@mysk_co) 13 avril 2020

L’enquête a prouvé qu’il est possible d’intercepter avec succès le trafic TikTok et de tromper l’application pour montrer de fausses vidéos comme si elles avaient été publiées par des comptes populaires et vérifiés. Tout routeur entre l’application TikTok et les serveurs de TikTok peut facilement exposer l’historique de surveillance d’un utilisateur et modifier les photos et vidéos de profil. Alors que seuls les utilisateurs connectés au routeur verront le contenu malveillant, la recherche suggère que si un serveur DNS populaire était piraté pour inclure un enregistrement DNS corrompu, les données multimédias pourraient être modifiées à grande échelle.

