Microsoft melaporkan kerentanan tingkat tinggi di aplikasi TikTok Android, yang memungkinkan penyerang masuk ke akun hanya dengan satu klik.
Aplikasi Android TikTok memiliki masalah keamanan yang serius, dan Microsoft-lah yang melaporkannya. Perusahaan baru-baru ini merinci temuannya untuk komunitas keamanan siber, yang menunjukkan bahwa kerentanan dengan tingkat keparahan yang tinggi dapat memungkinkan penyerang untuk menyusupi akun dalam satu klik. TikTok juga diberitahu tentang masalah ini oleh Microsoft dan telah diperbaiki.
Kerentanan khusus ini berdampak pada TikTok pada Android versi 23.7.3 dan lebih rendah, memerlukan beberapa masalah yang harus digabungkan agar dapat dieksploitasi, dan tidak digunakan secara liar, menurut Microsoft. Artinya, kemungkinan besar tidak ada seorang pun yang terkena dampaknya. Sebenarnya ada dua versi TikTok di Android, satu untuk Asia Timur dan Tenggara, dan satu lagi untuk seluruh dunia. Microsoft melakukan penilaian kerentanan dan menemukan keduanya terkena dampak, yang berarti kerentanan tersebut mencapai total 1,5 miliar instalasi.
Namun, dengan kerentanan tersebut, peretas bisa saja membajak akun TikTok berbasis Android tanpa pengguna sadari jika pengguna mengeklik satu tautan pun. Penyerang bisa saja mengakses profil TikTok yang disusupi, membiarkan mereka melihat video pribadi, mengirim pesan, atau mengunggah video.
Jadi, apa secara spesifik bagaimana kerentanan ini dapat dimanfaatkan oleh penyerang? Menurut Microsoft, aplikasi TikTok Android memungkinkan verifikasi tautan dalam aplikasi dilewati. Penyerang bisa saja memaksa aplikasi memuat URL ke WebView aplikasi. Hal ini kemudian akan memungkinkan halaman dalam URL tersebut mengakses jembatan JavaScript WebView untuk memberikan lebih banyak fungsi kepada peretas dan 70 cara untuk mengakses informasi pengguna dengan cepat. Penyerang juga dapat mengambil token autentikasi pengguna dengan memicu permintaan ke server yang dikontrol dan mencatat cookie serta header permintaan.
Microsoft menulis tentang masalah jembatan JavaScript ini di masa lalu, dan entri CVE tersedia untuk lebih spesifik tentang kerentanan TikTok ini. Perusahaan melaporkan masalah ini melalui Pengungkapan Kerentanan Terkoordinasi (CVD) melalui Penelitian Kerentanan Keamanan Microsoft (MSVR) pada bulan Februari 2022, dan ditambal oleh TikTok sebulan setelah pengungkapannya. Microsoft berpendapat bahwa situasi ini menunjukkan betapa pentingnya mengoordinasikan penelitian dan intelijen ancaman dalam industri teknologi.
Sumber: Microsoft