Peneliti cybersecurity pada hari Selasa mengungkapkan (bug) kelemahan keamanan yang sekarang telah mendapat perbaikan dari TikTok.
Yang berpotensi memungkinkan penyerang untuk membangun database pengguna aplikasi dan nomor telepon terkait untuk aktivitas jahat di masa depan.
Meskipun cacat ini hanya berdampak pada pengguna yang telah menautkan nomor telepon dengan akun mereka atau masuk dengan nomor telepon.
Eksploitasi kerentanan yang berhasil dapat mengakibatkan kebocoran data dan pelanggaran privasi, kata Check Point Research dalam sebuah analisis.
TikTok telah menerapkan perbaikan untuk mengatasi kekurangan tersebut setelah pengungkapan yang bertanggung jawab dari para peneliti Check Point.
Bug yang baru ditemukan berada pada fitur “Temukan teman” TikTok yang memungkinkan pengguna untuk menyinkronkan kontak mereka dengan layanan untuk mengidentifikasi orang yang potensial untuk diikuti.
Kontak terunggah ke TikTok melalui permintaan HTTP berupa daftar yang terdiri dari nama kontak berciri dan nomor telepon yang sesuai.
Aplikasi tersebut, pada langkah berikutnya, mengirimkan permintaan HTTP kedua yang mengambil profil TikTok yang terhubung ke nomor telepon yang dikirim dalam permintaan sebelumnya.
Tanggapan ini mencakup nama profil, nomor telepon, foto, dan informasi terkait profil lainnya.
Sementara permintaan kontak unggah dan sinkronisasi mendapat batasan hingga 500 kontak per hari, per pengguna, dan per perangkat.
Peneliti Check Point menemukan cara untuk mengatasi batasan tersebut dengan mendapatkan pengenal perangkat, cookie sesi yang terdapat pada sistem server.
Yang unik token bernama “X-Tt-Token” yang memiliki pengaturan saat masuk ke akun dengan SMS. Dan mensimulasikan seluruh proses dari emulator yang menjalankan Android 6.0.1.
Bug TikTok memungkinkan data pengguna tersebar
Perlu kita catat bahwa untuk meminta data dari server aplikasi TikTok, permintaan HTTP harus menyertakan header X-Gorgon. Dan X-Khronos untuk verifikasi server, yang memastikan bahwa pesan tidak mengalami kerusakan.
Tetapi dengan memodifikasi permintaan HTTP – jumlah kontak yang ingin disinkronkan oleh penyerang. Kemudian menandatanganinya kembali dengan tanda tangan pesan yang sudah mendapat modifikasi.
Cacat tersebut memungkinkan untuk mengotomatiskan prosedur pengunggahan dan sinkronisasi kontak dalam skala besar dan membuat database akun tertaut dan nomor teleponnya yang terhubung.
Ini jauh dari pertama kalinya aplikasi berbagi video populer tersebut terbukti mengandung kelemahan keamanan.
Pada Januari 2020, peneliti Check Point menemukan beberapa kerentanan dalam aplikasi TikTok yang dapat dieksploitasi untuk mendapatkan akun pengguna dan memanipulasi konten mereka.
Termasuk menghapus video, mengunggah video yang tidak sah, membuat video “tersembunyi” pribadi menjadi publik, dan mengungkapkan informasi pribadi yang tersimpan dalam akun.
Kemudian pada bulan April, peneliti keamanan Talal Haj Bakry dan Tommy Mysk mengungkap kelemahan di TikTok. Yang memungkinkan penyerang menampilkan video palsu.
Ttermasuk dari akun terverifikasi, dengan mengarahkan aplikasi ke server palsu yang menampung koleksi video palsu.
Akhirnya, TikTok meluncurkan kemitraan bug bounty dengan HackerOne Oktober lalu untuk membantu pengguna atau profesional keamanan menandai masalah teknis dengan platform tersebut.
Kerentanan kritis (skor CVSS 9 – 10) memenuhi syarat untuk pembayaran antara $ 6.900 hingga $ 14.800, menurut program tersebut.
“Motivasi utama kami, kali ini, adalah untuk mengeksplorasi privasi TikTok,” kata Oded Vanunu, kepala penelitian kerentanan produk di Check Point. Kami ingin tahu apakah platform TikTok dapat berfungsi untuk mendapatkan data pribadi pengguna.
Ternyata jawabannya adalah ya, karena kami dapat melewati beberapa mekanisme perlindungan TikTok yang menyebabkan pelanggaran privasi.
“Penyerang dengan tingkat informasi sensitif seperti itu dapat melakukan berbagai aktivitas berbahaya, seperti phishing tombak atau tindakan kriminal lainnya.”