idNSA.id - Pakar keamanan dari CheckPoint telah menemukan kerentanan kritis dalam aplikasi TikTok populer yang dapat dieksploitasi oleh penyerang jarak jauh untuk membajak akun pengguna hanya dengan mengetahui nomor ponsel korban.
Aplikasi yang dikembangkan oleh perusahaan Cina, ByteDance, memiliki lebih dari 1,3 miliar pemasangan di seluruh dunia
Kerentanan yang dilaporkan mencakup masalah keparahan rendah seperti spoofing tautan SMS, pengalihan terbuka, dan skrip lintas situs (XSS) yang bila digabungkan dapat memungkinkan penyerang jarak jauh untuk melakukan serangan berdampak tinggi, termasuk:
hapus video apa pun dari profil TikTok korban,
mengunggah video yang tidak sah ke profil TikTok korban,
buat video "private" pribadi menjadi publik,
mengungkapkan informasi pribadi yang disimpan di akun, seperti alamat pribadi dan email.
Serangan memanfaatkan sistem SMS tidak aman yang ditawarkan TikTok di situs webnya untuk memungkinkan pengguna mengirim pesan ke nomor telepon mereka dengan tautan untuk mengunduh aplikasi berbagi video.
Dalam sebuah laporan yang dibagikan secara pribadi dengan The Hacker News, Menurut para peneliti, penyerang dapat mengirim pesan SMS ke nomor telepon apa pun atas nama TikTok dengan URL unduhan yang dimodifikasi ke halaman berbahaya yang dirancang untuk mengeksekusi kode pada perangkat yang ditargetkan dengan aplikasi TikTok yang sudah diinstal.
Ketika dikombinasikan dengan masalah open redirection and cross-site scripting, serangan itu dapat memungkinkan peretas untuk mengeksekusi kode JavaScript atas nama korban segera setelah mereka mengklik tautan yang dikirim oleh server TikTok melalui SMS, seperti yang ditunjukkan dalam demonstrasi video oleh Check Point.
Teknik ini umumnya dikenal sebagai cross-site request forgery attack, di mana penyerang menipu pengguna yang diautentikasi untuk melakukan tindakan yang tidak diinginkan.
Check Point secara bertanggung jawab melaporkan kerentanan ini kepada ByteDance, pengembang TikTok, pada akhir November 2019, yang kemudian merilis versi aplikasi seluler yang ditambal dalam waktu satu bulan untuk melindungi penggunanya dari peretas.
Jika Anda tidak menjalankan versi terbaru TikTok yang tersedia di toko aplikasi resmi untuk Android dan iOS, Anda disarankan untuk memperbaruinya sesegera mungkin.
Images: Tiktok & Thehackernews
