Cyberthreat.id – Bayangkan: suatu kali Anda sedang berselancar di TikTok. Tiba-tiba, Anda melihat sebuah video yang tidak Anda unggah muncul di akun Anda. Apa reaksi Anda? Pasti kaget dan heran.

Kok bisa? Inilah kerentanan yang baru-baru ini ditemukan peneliti keamanan siber Tommy Mysk dan Talal Haj Bakry pada aplikasi TikTok. Keduanya berhasil membuat simulasi serangan siber seperti itu ke media sosial populer.

Dalam laporannya yang diunggah di blog Mysk, Senin (13 April 2020), mereka menulis bahwa serangan itu bisa terjadi lantaran aplikasi TikTok saat ini masih menggunakan Hypertext Transfer Protocol (HTTP) yang tidak aman.

Sama seperti aplikasi media sosial lain, TikTok juga bergantung pada Content Delivery Networks (CDN) untuk mendistribusikan data besar platform secara geografis.

CDN adalah kumpulan peladen (server) global yang berada di sejumlah pusat data (data center) dan tersebar di beberapa negara. CDN biasanya dipakai untuk mengirimkan konten ke situs web berskala besar. Dengan tersedia di berbagai negara, konten-konten medsos tadi dikirimkan dari peladen terdekat.

"Nah, CDN TikTok memilih untuk mentransfer video dan data media lainnya melalui HTTP,” demikian laporan peneliti.

Dengan kondisi seperti itu, "Artinya menempatkan privasi pengguna dalam bahaya. Lalu lintas HTTP dapat dengan mudah dilacak, dan bahkan diubah oleh aktor jahat,” tulis peneliti.

Kelonggaran iOS dan Android

Peneliti mengatakan, aplikasi yang masih menggunakan HTTP tidak terenkripsi, transfer datanya tidak dapat dijamin: data yang diterima tidak diawasi atau bisa diubah oleh peretas (hacker).

Alasan itulah yang membuat Apple, pengembang iOS, mengenalkan App Transport Security di iOS 9 agar meminta semua koneksi HTTP beralih ke HTTPS terenkripsi. Google juga melakukan hal serupa di Android Pie untuk memblokir semua lalu lintas HTTP plaintext.

Mengapa TikTok bisa tersedia di Android dan iOS?

“Apple dan Google masih menyediakan cara bagi pengembang (aplikasi) untuk memilih keluar dari HTTPS. Namun, ini harusnya menjadi pengecualian daripada aturan di saat sebagian besar pengembang aplikasi bertransisi ke HTTPS” tulis laporan.

Saat laporan kerentanan itu ditulis, menurut peneliti, TikTok untuk iOS (versi 15.5.6) dan TikTok untuk Android (versi 15.7.4) masih menggunakan HTTP yang tidak terenkripsi untuk terhubung ke CDN TikTok.

---

---

Apa efeknya? “Jika Anda memeriksa paket jaringan lebih dekat, Anda akan melihat dengan jelas data video dan gambar yang ditransfer tidak terenkrisi,” laporan itu menyebutkan. Akibatnya, TikTok mewarisi semua kerentanan HTTP yang telah diketahui dan didokumentasikan.

“Perangkat router apa pun antara aplikasi TikTok dan CDN TikTok dapat dengan mudah mendaftar semua video yang telah diunduh dan ditonton pengguna, memperlihatkan semua riwayat tontonan pengguna,” tutur laporan itu.

Bahkan, operator wi-fi publik, penyedia layanan internet (ISP), dan agen intelijen bisa mengumpulkan data tersebut tanpa banyak kesulitan usaha.

Dalam menganalisis lalu lintas jaringan dari aplikasi, peneliti menggunakan Wiresharks—sebuah perangkat lunak open-source yang dipakai untuk menganalisis aplikasi, network troubleshooting, communication protocol development, dan lain-lain.

Gambar berikut ini menggambarkan lalu lintas jaringan TikTok dengan HTTP yang ditangkap oleh Wireshark:

Sumber: blog Mysk

---

Selama ini konten-konten TikTok yang dikirim ke server melalui HTTP, seperti semua video yang ditampilkan aplikasi, foto profil akun, dan gambar foto video (gambar pratinjau dari video yang ditampilkan saat video sedang diunduh).

Dengan menggunakan kerentanan yang ada, peneliti bisa mencegat konten-konten tersebut. Dalam simulasinya, misal, peneliti mengunggah video spam atau disinformasi tentang virus corona dan menyuntikkannya ke akun TikTok milik Organisasi Kesehatan Dunia (WHO). Hasilnya, sungguh tampak seperti salah satu video asli dari WHO sendiri. Peneliti juga berhasil menggunakan proses yang sama untuk menampilkan unggahan palsu di akun TikTok terverifikasi lainnya.

---

---

Serangan MiTM

Untuk melakukan serangan itu, peneliti mengelabui aplikasi TikTok dengan mengarahkan rute transmisi data/konten ke peladen palsu yang dibuat meniru peladen CDN TikTok. "Ini bisa dilakukan oleh aktor ancaman asalkan mereka memiliki akses langsung ke router yang terhubung dengan pengguna," tulis peneliti.

Itulah yang disebut dengan serangan man in the middle (MiTM). Seorang peretas kemudian bisa mencegat segala jenis konten yang diangkut TikTok; konten juga dapat diunduh. Salah satu yang paling sederhana direkayasa peretas adalah mengubah foto profil akun pengguna dengan foto palsu.

“Kami berhasil mencegat lalu lintas TikTok dan menipu aplikasi untuk menampilkan video kami sendiri seolah-olah itu diterbitkan oleh akun populer dan terverifikasi,” kata peneliti.

Dengan kerentanan seperti itu, peneliti khawatir peretas dapat menyampaikan lebih banyak fakta palsu dalam video spam di akun selebritas atau akun tepercaya. Kelemahan itu, kata peneliti, lantaran TikTok masih memakai HTTP, sehingga membuka “pintu” untuk peniruan server dan manipulasi data.

Sebagai raksasa jejaring sosial dengan sekitar 800 juta pengguna aktif bulanan, “TikTok seharusnya mematuhi standar industri dalam hal privasi dan perlindungan data,” kedua peneliti itu menegaskan.[]