Cyberthreat.id – Peneliti keamanan dari Microsoft 365 Defender Research Team, Dimitrios Valsamaras, mengungkapkan bahwa pihaknya telah menemukan dan melaporkan kerentanan parah pada aplikasi TikTok Android, yang memungkinkan penyerang mengambil alih akun dengan satu klik dengan mengelabui target agar mengklik tautan berbahaya yang dibuat khusus.

“Penyerang dapat memanfaatkan kerentanan untuk membajak akun tanpa sepengetahuan pengguna jika pengguna yang ditargetkan hanya mengklik tautan yang dibuat khusus,” ujar Valsamaras, sesuai dengan yang dikutip dari Bleeping Computer.

Valsamaras menjelaskan, setelah mengambil alih akun korban, para penyerang dapat mengakses dan memodifikasi profil TikTok pengguna dan informasi sensitif, seperti dengan mempublikasikan video pribadi, mengirim pesan, dan mengunggah video atas nama pengguna.

Ia menambahkan, saat mengklik tautan tersebut mengungkapkan lebih dari 70 metode JavaScript yang dapat disalahgunakan oleh penyerang dengan bantuan eksploit yang dirancang untuk membajak WebView aplikasi TikTok (komponen sistem Android yang digunakan oleh aplikasi yang rentan untuk menampilkan konten web).

“Dengan menggunakan metode terbuka, pelaku ancaman dapat mengakses atau memodifikasi informasi pribadi pengguna TikTok atau melakukan permintaan HTTP yang diautentikasi,” ujar Valsamaras.

Singkatnya, penyerang yang berhasil mengeksploitasi kerentanan ini dengan sukses dapat dengan mudah mengambil token otentikasi pengguna (dengan memicu permintaan ke server di bawah kendali mereka dan mencatat cookie dan header permintaan). Mereka juga bisa mengambil atau memodifikasi data akun TikTok pengguna, termasuk video pribadi dan pengaturan profil (dengan memicu permintaan ke titik akhir TikTok dan mengambil balasan melalui panggilan balik JavaScript)

"Kerentanan Pembajakan WebView ditemukan pada aplikasi TikTok Android melalui tautan dalam yang tidak divalidasi pada parameter yang tidak disanitasi. Hal ini dapat mengakibatkan pembajakan akun melalui antarmuka JavaScript," laporan HackerOne lebih lanjut menjelaskan.

Saat ini, kerentanan keamanan, dilacak sebagai CVE-2022-28799, sekarang ditambal sejak rilis TikTok versi 23.7.3, diterbitkan kurang dari sebulan setelah pengungkapan awal Microsoft. Microsoft mengatakan belum menemukan bukti CVE-2022-28799 dieksploitasi di alam liar.

Pengguna TikTok dapat bertahan dari masalah serupa dengan tidak mengeklik tautan dari sumber yang tidak tepercaya, memperbarui aplikasi mereka, hanya menginstal aplikasi dari sumber resmi, dan melaporkan perilaku aneh aplikasi apa pun sesegera mungkin.

Sebelumnya, pada November 2020, TikTok memperbaiki kerentanan yang memungkinkan pelaku ancaman dengan cepat membajak akun pengguna yang mendaftar melalui aplikasi pihak ketiga. Perusahaan juga telah mengatasi kelemahan keamanan lain yang memungkinkan penyerang mencuri informasi pribadi pengguna atau membajak akun mereka untuk memanipulasi video.