Pardonnez l’intrusion # 24: L’horloge est TikToking

0
195

Abonnez-vous à cette newsletter bi-hebdomadaire ici!

Bienvenue dans la dernière édition de Pardon The Intrusion, TNW’s bulletin bimensuel dans lequel nous explorons le monde sauvage de la sécurité.

L’horloge tourne pour TikTok.

La populaire application de partage de vidéos de forme courte, qui est déjà interdite en Inde, fait face à un barrage routier similaire aux États-Unis, où l’administration Trump a intensifié ses menaces pour bannir la plateforme de même que WeChat.

Même comme ByteDance et Microsoft sont en train de trouver un accord possible, la grande question est: devez-vous supprimer TikTok de votre téléphone?

Les inquiétudes en matière de confidentialité et de sécurité concernant l’application se sont généralisées ces dernières semaines, avec le Avertissement du gouvernement américain qu’il met «vos informations privées entre les mains du Parti communiste chinois».

Pour répondre à la question, le meilleur moyen est de décompresser l’application elle-même et de suivre la trace des données. C’est exactement ce que le chercheur en sécurité Baptiste Robert (@ fs0c131y) fait.

Et ce qu’il a trouvé est la preuve que l’application ne fait rien de différent de ce que font déjà d’autres applications comme Facebook.

« Pour autant que nous puissions le voir, dans son état actuel, TikTok n’a pas de comportement suspect et n’exfiltre pas de données inhabituelles », Robert a dit. «Obtenir des données sur l’appareil de l’utilisateur est assez courant dans le monde mobile et nous obtiendrions des résultats similaires avec Facebook, Snapchat, Instagram et autres.»

Puis plus tôt cette semaine, un le journal Wall Street Une analyse a révélé qu’elle utilisait une faille connue dans Android pour obtenir l’adresse MAC de l’appareil et éventuellement utiliser les identifiants persistants de l’appareil à des fins de suivi publicitaire. TikTok a arrêté la pratique en novembre 2019.

Oui, c’est une chose douteuse à faire, tout comme presse-papiers fiasco, mais il est loin d’être considéré comme une menace pour la sécurité nationale.

En fait, une récente évaluation de la CIA obtenue par Le New York Times n’a trouvé aucune preuve que l’application avait été utilisée par des agences d’espionnage chinoises pour intercepter des données.

C’est une évidence lorsque vous installez une application sur votre téléphone, vous vous inscrivez volontairement pour être suivi et une quantité impie de données collectées à votre sujet.

Mais bien qu’il y ait en fait peu de preuves que TikTok partage vos informations personnelles avec la Chine, nous devons nous méfier de toute tentative gouvernementale de contrôler un logiciel sous le couvert de problèmes de confidentialité.

Quelles sont les tendances en matière de sécurité?

Twitter l’a dit a corrigé un bug dans son application Android qui aurait permis à un attaquant d’accéder aux messages privés Twitter privés d’un utilisateur, Garmin aurait payé un rançon de plusieurs millions de dollars pour récupérer l’accès à ses systèmes après une attaque de ransomware, et le Sanctions imposées par l’UEcontre la Chine, la Russie et la Corée du Nord pour avoir mené des cyberattaques majeures contre des citoyens et des entreprises européens.

  • Les États-Unis ont annoncé des récompenses allant jusqu’à 10 millions de dollars pour toute information conduisant à l’identification de toute personne qui travaille avec ou pour un gouvernement étranger dans le but d’interférer avec les élections américaines par des «cyber-activités illégales».[[Département d’État américain]
  • Quelle est la sécurité de la puce de votre carte de crédit? Une analyse de 11 implémentations de cartes à puce provenant de 10 banques différentes en Europe et aux États-Unis a révélé qu’il était possible de «récolter les données de quatre d’entre elles et de créer des cartes à bande magnétique clonées qui ont été utilisées avec succès pour effectuer des transactions».[[Brian Krebs]
  • Le New York Times s’est penché sur la vie de l’adolescent de 17 ans de Floride, Graham Ivan Clark, le prétendu «cerveau» derrière le piratage de Twitter le mois dernier, qui a été arrêté avec deux autres complices.[[Le New York Times]
  • La NSA a averti cette semaine les membres de la communauté militaire et du renseignement américain que leurs applications pour smartphone pourraient les suivre et mettre leur sécurité en danger. Il demande aux employés de désactiver les services de partage de position sur les appareils mobiles, d’accorder aux applications le moins d’autorisations possible, de désactiver les autorisations publicitaires, de limiter la navigation sur le Web mobile, d’ajuster les options du navigateur pour désactiver l’utilisation des données de localisation et de désactiver les paramètres de suivi des téléphones égarés / volés. .[[NSA]

  • Plus de 400 vulnérabilités dans les puces Qualcomm Snapdragon, désormais corrigées, pourraient être exploitées pour contourner les contrôles de sécurité et voler des données sensibles, selon une nouvelle étude.[[Ars Technica]
  • Anomaly Six, un sous-traitant du gouvernement américain, a intégré ses SDK dans plus de 500 applications mobiles, ce qui lui permet de suivre les mouvements de centaines de millions de téléphones mobiles dans le monde.[[Le journal de Wall Street]
  • Les appareils connectés à forte puissance comme les lave-vaisselle et les systèmes de chauffage peuvent être recrutés dans des botnets et utilisés pour manipuler les marchés de l’énergie.[[Georgia Tech]
  • L’industrie des semi-conducteurs de Taiwan a fait l’objet d’une campagne de piratage appelée «Operation Chimera» entre 2018 et 2019 par un groupe de menaces basé en Chine dans le but de voler le code source et les conceptions de puces.[[Technologie CyCraft]

  • Une dizaine de vulnérabilités dans une voiture Mercedes-Benz Classe E a permis aux chercheurs d’ouvrir ses portes à distance et de démarrer le moteur.[[TechCrunch]
  • Lors de la conférence Black Hat de la semaine dernière, un chercheur en sécurité a révélé à quel point Internet par satellite non sécurisé permet aux attaquants d’espionner les entreprises et parfois de falsifier les données.[[Ars Technica]
  • Expert en sécurité Troy Hunt Site Web de notification de violation de données à source ouverte Ai-je été pwned. Pour en savoir plus sur le fonctionnement de ces outils de vérification des mots de passe, iciEst une introduction intéressante de Junade Ali de Cloudflare.[[Chasse à Troie]
  • La quinzaine des violations de données, des fuites et des ransomwares: Association dentaire britannique, Canon, Havenly, Intel, LG, Xerox, et Zello.

Point de données

IBM a publié son Coût d’un rapport de violation de données le mois dernier, qui indique que la violation de données moyenne coûte maintenant 3,86 millions de dollars. Bien que cette moyenne ait diminué de 1,5% par rapport à 2019, ces «méga» violations peuvent coûter jusqu’à 392 millions de dollars à récupérer, contre 388 millions de dollars en 2019.

Tweet de la semaine

Une autre raison pour laquelle l’authentification à deux facteurs basée sur SMS doit disparaître!

C’est tout. Rendez-vous tous dans deux semaines. Restez en sécurité!

Ravie x TNW (ravie[at]thenextweb[dot]com)

Pssst, hé toi!

Voulez-vous recevoir GRATUITEMENT la newsletter technologique quotidienne la plus impertinente chaque jour, dans votre boîte de réception? Bien sûr que vous faites: inscrivez-vous à Big Spam ici.