Peneliti Menunjukkan Cara Meretas Akun TikTok Apa Saja dengan Mengirim SMS

TikTok, Aplikasi ke-3 yang paling banyak diunduh pada tahun 2019, sedang dalam pengawasan ketat terhadap privasi pengguna, menyensor konten yang kontroversial secara politis dan dengan alasan keamanan nasional – tetapi itu belum berakhir, karena keamanan miliaran pengguna TikTok sekarang sedang dipertanyakan.

Aplikasi berbagi video viral Tiongkok yang terkenal berisi kerentanan potensial berbahaya yang dapat memungkinkan penyerang dari jauh untuk membajak akun pengguna apa pun hanya dengan mengetahui jumlah ponsel korban yang ditargetkan.

Dalam sebuah laporan yang dibagikan secara pribadi dengan The Hacker News, para peneliti cybersecurity di Check Point mengungkapkan bahwa meringkas beberapa kerentanan memungkinkan mereka untuk secara jarak jauh mengeksekusi kode jahat dan melakukan tindakan yang tidak diinginkan atas nama para korban tanpa persetujuan mereka.

Kerentanan yang dilaporkan mencakup masalah keparahan rendah seperti spoofing tautan SMS, pengalihan terbuka, dan skrip lintas situs (XSS) yang bila digabungkan dapat memungkinkan penyerang jarak jauh untuk melakukan serangan berdampak tinggi, termasuk:

• hapus video apa pun dari profil TikTok korban,
• mengunggah video yang tidak sah ke profil TikTok korban,
• buat video "tersembunyi" pribadi menjadi publik,
• mengungkapkan informasi pribadi yang disimpan di akun, seperti alamat pribadi dan email.

Serangan memanfaatkan sistem SMS tidak aman yang ditawarkan TikTok di situs webnya untuk memungkinkan pengguna mengirim pesan ke nomor telepon mereka dengan tautan untuk mengunduh aplikasi berbagi video.

Menurut para peneliti, penyerang dapat mengirim pesan SMS ke nomor telepon apa pun atas nama TikTok dengan URL unduhan yang dimodifikasi ke halaman berbahaya yang dirancang untuk mengeksekusi kode pada perangkat yang ditargetkan dengan aplikasi TikTok yang sudah diinstal.

Ketika dikombinasikan dengan pengalihan terbuka dan masalah skrip lintas situs, serangan itu dapat memungkinkan peretas untuk mengeksekusi kode JavaScript atas nama korban segera setelah mereka mengklik tautan yang dikirim oleh server TikTok melalui SMS, seperti yang ditunjukkan dalam demonstrasi video. Berita peretas.

Teknik ini umumnya dikenal sebagai serangan pemalsuan permintaan lintas situs, mengenai penyerang yang menipu pengguna yang diautentikasi untuk melakukan tindakan yang tidak diinginkan.

"Dengan kurangnya mekanisme pemalsuan permintaan Situs Lintas, kami menyadari bahwa kami dapat mengeksekusi kode JavaScript dan melakukan tindakan atas nama korban, tanpa persetujuannya," kata para peneliti dalam posting blog yang diterbitkan hari ini.

"Mengarahkan pengguna ke situs web berbahaya akan mengeksekusi kode JavaScript dan membuat permintaan ke Tiktok dengan cookie korban."

Check Point secara bertanggung jawab melaporkan kerentanan ini kepada ByteDance, pengembang TikTok, pada akhir November 2019, yang kemudian merilis versi aplikasi seluler yang ditambal dalam waktu satu bulan untuk melindungi penggunanya dari peretas.

Jika Anda tidak menjalankan versi terbaru TikTok yang tersedia di toko aplikasi resmi untuk Android dan iOS, Anda disarankan untuk memperbaruinya sesegera mungkin.