Cyberthreat.id – Anda pengguna TikTok Android, aplikasi berbagi video pendek, bersegeralah untuk memperbarui platform ke versi terbaru. Ini lantaran ada kerentanan yang memungkinkan peretas (hacker) mengambil alih akun pengguna.

Aplikasi yang rentan yaitu versi 8.4.0 (12 September 2018) hingga 15.2.10 (21 Maret 2020).

Peretasan ke pengguna TikTok Android ini sebetulnya butuh keuletan penyerang. Jadi, jika Anda tak mengunduh aplikasi berbahaya yang didesain penyerang, TikTok Anda masih aman.

Pertama-tama, penyerang harus meyakinkan pengguna untuk mengunduh aplikasi berbahaya yang telah didesain sedemikian rupa. Aplikasi ini bisa berupa aplikasi ringan, seperti kalkulator. Jika aplikasi berbahaya tersebut diunduh dan diinstal oleh pengguna TikTok, di situlah permulaan peretasan dimulai.

Kerentanan ditemukan oleh peneliti Oversecured, startup keamanan siber yang fokus pada aplikasi seluler pada Jumat (11 September 2020). Namun, kata peneliti, semua bug tersebut telah diperbaiki pada TikTok versi 17.4.4.

“Semua kerentanan ini dapat dieksploitasi oleh peretas jika pengguna memasang aplikasi jahat ke perangkat Android mereka,” menurut peneliti seperti dikutip dari ThreatPost, Senin (14 September 2020).

Namun, “Semua kerentanan telah dihapus. Pengguna harus memperbarui ke versi terbaru di Google Play Store.”

Penemuan bug tersebut bersamaan dengan wacana TikTok AS memutuskan untuk berpartner dengan Oracle, perusahaan teknologi AS, setelah menolak tawaran Microsoft Inc, akhir pekan lalu. TikTok saat ini menjadi sorotan pemerintahan Presiden AS Donald Trump lantaran dianggap mengancam keamanan nasional. TikTok diberi waktu untuk segera menjual perusahaan ke perusahaan AS atau terancam dilarang beroperasi di AS.

Empat kerentanan

Ada empat kelemahan yang ditemukan peneliti Oversecured pada TikTok Android. Tiga masalah dilaporkan pada 27 Januari 2020 dan baru diperbaiki antara Juni dan Agustus lalu.

Semuanya adalah kerentanan berupa eksekusi kode arbitrer (mana suka) yang ditemukan di berbagai komponen Android dalam file AndroidManifest.xml—file manifes untuk proyek aplikasi yang mendeskripsikan informasi penting tentang aplikasi ke Android build tools, sistem operasi Android, dan Google Play Store.

Komponen Android yang dimaksud tersebut adalah DetailACtivity, NotificationBroadcasterReceiver, dan antarmuka IndependentProcessDownloadService AIDL (Android Interface Definition Language).

“Masalahnya terletak pada komponen-komponen tersebut tidak memiliki pemeriksaan keamanan yang memungkinkan aplikasi pihak ketiga atau siapa saja untuk memuat file arbitrer berbahaya ke dalam aplikasi,” tulis ThreatPost.

Dengan kondisi seperti itu, kata peneliti, menyebabkan aplikasi jahat bisa menyusup. Aplikasi jahat yang telah terinstal ini akan membuat library file di direktori privat TikTok dan memuatnya secara otomatis.

“Kerentanan tersebut bisa saja dieksploitasi oleh aplikasi yang hanya dijalankan sekali dan kemudian, katakanlah, dihapus,” jelas peneliti.

“Library tersebut akan ditulis ke direktori privat aplikasi dan dapat dimuat oleh aplikasi bahkan setelah ponsel di-reboot. Semua kerentanan yang terkait dengan eksekusi kode arbitrer akan menyebabkan aplikasi dan penggunanya disusupi sepenuhnya.”

Jika kerentanan itu dieksploitasi, memungkinkan penyerang mengakses pesan dan video pribadi korban di dalam aplikasi.

“Mereka juga bisa mendapatkan kendali atas izin aplikasi; memberi mereka akses ke foto dan video korban yang disimpan di perangkat, unduhan web browser, fungsi rekam audio dan video, serta kontak,” ThreatPost menambahkan.

Satu kelemahan lain yang ditemukan adalah pencurian file. “Cacat ini memerlukan interaksi pengguna, tetapi penyerang dapat mengakses data dalam aplikasi pengguna pribadi seperti riwayat, pesan pribadi, atau token sesi, yang mengarah ke akses ke akun pengguna,” kata peneliti.

Bug pencurian file ini dilaporkan pada 16 Februari 2020 ke TikTok.[]