Bug Hunter Temukan Celah yang Bikin Akun TikTok Bisa Diambil Alih dalam Sekali Klik

Cyberthreat.id - Seorang pemburu celah keamanan (bug hunter) asal Jerman bernama Muhammad Taksiran menemukan dua kerentanan di aplikasi Tiktok. Celah itu bisa memungkinkan penyerang mengambil alih akun dengan satu klik ketika dirangkai bersama untuk pengguna yang mendaftar melalui aplikasi pihak ketiga.

Dilansir dari Bleeping Computer, Taksiran menemukan celah keamanan keamanan pada pantulan skrip lintas situs (reflected cross site scripting/XSS) -- juga dikenal sebagai XSS non-persisten - dalam parameter URL TikTok yang mencerminkan nilainya tanpa sanitasi yang tepat.

Sekedar informasi, cross site scripting adalah serangan injeksi kode pada sisi klien dengan menggunakan sarana halaman website atau web aplikasi. Peretas akan mengeksekusi skrip berbahaya di browser korban dengan cara memasukkan kode berbahaya ke halaman web atau web aplikasi yang sah. Serangan ini dapat dilakukan menggunakan JavaScript, VBScript, ActiveX, Flash, dan bahasa sisi klien lainnya.

Cross site scripting ini sering digunakan untuk mencuri session cookies, yang memungkinkan penyerang untuk menyamar sebagai korban. Dengan cara inilah, peretas bisa mengetahui data-data sensitif milik korban.

Taksiran menemukan reflected XSS itu juga dapat menyebabkan eksfiltrasi data saat melakukan fuzz testing atau pengujian acak pada domain www.tiktok.com dan m.tiktok.com.

Dia juga menemukan titik akhir API TikTok rentan terhadap serangan pemalsuan permintaan lintas situs (CSRF) yang memungkinkan penyerang mengubah kata sandi akun untuk pengguna yang mendaftar menggunakan aplikasi pihak ketiga. Dengan begitu, akun TikTok mereka bisa diambil alih orang lain.

"Titik akhir memungkinkan saya menyetel kata sandi baru pada akun yang menggunakan aplikasi pihak ketiga untuk mendaftar," kata Taksiran.

"Saya menggabungkan kedua kerentanan dengan membuat muatan JavaScript sederhana - memicu CSRF - yang saya masukkan ke dalam parameter URL yang rentan dari sebelumnya, untuk mengarsipkan 'pengambilalihan akun sekali klik'," tambah Taksiran.

Taksiran melaporkan rantai serangan pengambilalihan akun ke TikTok pada 26 Agustus 2020. Perusahaan kemudian menambal celah itu dan memberi hadiah kepada Taksiran senilai US$ 3.860 pada 18 September lalu.

TikTok juga menangani serangkaian kerentanan keamanan dalam infrastrukturnya yang memungkinkan penyerang potensial untuk membajak akun untuk memanipulasi video pengguna dan mencuri informasi mereka.

November tahun lalu, peneliti Check Point juga mengungkapkan sejumlah masalah keamanan kepada ByteDance selaku pemilik TikTok. Dalam laporannya, Check Point menyebutkan penyerang dapat menggunakan sistem SMS TikTok untuk mengeksploitasi kerentanan untuk mengunggah video yang tidak sah dan menghapus, memindahkan video pengguna dari pribadi ke publik, dan mencuri data pribadi yang sensitif.

"TikTok berkomitmen untuk melindungi data pengguna," kata insinyur keamanan TikTok Luke Deshotels saat itu.

"Seperti banyak organisasi, kami mendorong peneliti keamanan yang bertanggung jawab untuk secara pribadi mengungkapkan kerentanan zero-day kepada kami," tambah Luke.
 
Aplikasi Android TikTok saat ini memiliki lebih dari 1 miliar penginstalan menurut statistik resmi Google Play Store dan telah melampaui angka penginstalan 2 miliar di semua platform seluler pada April 2020 berdasarkan perkiraan Sensor Tower Store Intelligence.[]