Aplikasi TikTok Rentan, Klik Tautan Berbahaya Bisa Akibatkan Akun Hilang, Untung Segera Diperbaiki
TikTok terdapat bug berbahaya. (foto: dok. pixabay)

Bagikan:

JAKARTA - Kerentanan dalam aplikasi TikTok untuk Android dapat membuat penyerang mengambil alih akun apa pun yang mengklik tautan berbahaya. Ini jelas berpotensi memengaruhi ratusan juta pengguna platform itu.

Rincian eksploitasi satu klik terungkap hari ini dalam posting blog dari para peneliti di Microsoft's 365 Defender Research Team. Kerentanan itu diungkapkan ke TikTok oleh Microsoft, dan sejak itu telah ditambal.

Bug dan serangan yang dihasilkannya, diberi label "kerentanan tingkat keparahan tinggi," dapat digunakan untuk membajak akun pengguna TikTok mana pun di Android tanpa sepengetahuan mereka, begitu pengguna mengklik tautan yang dibuat khusus.

Setelah tautan diklik, penyerang akan memiliki akses ke semua fungsi utama akun, termasuk kemampuan mengunggah dan memposting video, mengirim pesan ke pengguna lain, dan melihat video pribadi yang disimpan di akun.

Potensi dampaknya sangat besar, karena memengaruhi semua varian global aplikasi Android TikTok, yang memiliki total lebih dari 1,5 miliar unduhan di Google Play Store. “Namun, tidak ada bukti bahwa (kerentanan) itu dieksploitasi oleh aktor jahat, ”kata juru bicara TikTok, Maureen Shanahan, seperti dikutip The Verge. “Para peneliti yang terlibat dalam penemuan dan pengungkapan memuji TikTok atas tanggapan yang cepat.”

Microsoft mengkonfirmasi bahwa TikTok segera menanggapi laporan tersebut. “Kami memberi mereka informasi tentang kerentanan dan berkolaborasi untuk membantu memperbaiki masalah ini,” ungkap Tanmay Ganacharya, direktur mitra untuk penelitian keamanan di Microsoft Defender for Endpoint kepada The Verge. “TikTok merespons dengan cepat, dan kami memuji resolusi yang efisien dan profesional dari tim keamanan.”

Menurut detail yang diterbitkan dalam posting blog, kerentanan memengaruhi fungsionalitas tautan dalam aplikasi Android. Penanganan tautan dalam ini memberi tahu sistem operasi untuk mengizinkan aplikasi tertentu memproses tautan dengan cara tertentu, seperti membuka aplikasi Twitter untuk mengikuti pengguna setelah mengeklik tombol HTML “Ikuti akun ini” yang disematkan di halaman web.

Penanganan tautan ini juga mencakup proses verifikasi yang harus membatasi tindakan yang dilakukan saat aplikasi memuat tautan yang diberikan. Tetapi para peneliti menemukan cara untuk melewati proses verifikasi ini dan menjalankan sejumlah fungsi yang berpotensi dapat dijadikan senjata dalam aplikasi.

Salah satu fungsi ini memungkinkan mereka mengambil token otentikasi yang terkait dengan akun pengguna tertentu, yang secara efektif memberikan akses akun tanpa perlu memasukkan kata sandi. Dalam serangan proof-of-concept, para peneliti membuat tautan berbahaya yang, ketika diklik, mengubah bio akun TikTok menjadi “PELANGGARAN KEAMANAN.”

Untungnya, kerentanan terdeteksi, dan Microsoft telah menggunakan kesempatan itu untuk menekankan pentingnya kolaborasi dan koordinasi antara platform teknologi dan vendor.

“Karena ancaman di seluruh platform terus bertambah dalam jumlah dan kecanggihannya, pengungkapan kerentanan, respons terkoordinasi, dan bentuk lain dari berbagi intelijen ancaman diperlukan untuk membantu mengamankan pengalaman komputasi pengguna, terlepas dari platform atau perangkat yang digunakan,” tulis Dimitrios Valsamaras dari Microsoft dalam posting blog.

“Kami akan terus bekerja dengan komunitas keamanan yang lebih besar untuk berbagi penelitian dan intelijen tentang ancaman dalam upaya membangun perlindungan yang lebih baik untuk semua,” tambahnya.

Meskipun aplikasi TikTok tidak diketahui mengalami peretasan besar sejauh ini, beberapa kritikus telah mencapnya sebagai risiko keamanan karena alasan lain.

Baru-baru ini, muncul kekhawatiran mengenai sejauh mana data pengguna AS dapat diakses oleh insinyur yang berbasis di China di ByteDance, perusahaan induk TikTok. Pada bulan Juli, para pemimpin Komite Intelijen Senat meminta Ketua FTC, Lina Khan, untuk menyelidiki TikTok setelah laporan mempertanyakan klaim bahwa data pengguna AS ditutup dari cabang perusahaan China.