Channel9.id-Jakarta. Peneliti menemukan celah keamanan yang besar di TikTok. Celah ini bakal memengaruhi setiap pengguna yang telah mengunduh aplikasi di perangkat Android. Tampaknya TikTok tak memberi tahu penggunanya mengenai hal ini, sekalipun jika terkena dampak yang parah.
Peneliti Microsoft 365 Defender melaporkan pada Rabu (31/8) lalu tentang kerentanan serius pada aplikasi TikTok versi Android. Didapati bahwa ada kemungkinan aktor jahat memiliki akses ke akun pengguna. Mengenai kerentanan TikTok ini, para peneliti telah mengumumkannya pada Februari lalu. TikTok kemudian melakukan perbaikan, setidaknya, selama satu bulan. Kendati demikian, baik peneliti maupun TikTok tak bisa memastikan sudah berapa lama kerentanan itu ada.
Dilansir dari Gizmodo, aktor jahat bisa mengakses dan mengeksploitasi akun pengguna jika pengguna mengklik tautan khusus. Di dalam sistem JavaScript, orang yang memiliki akses bisa mengubah informasi pengguna atau pengaturan profil. Sehingga, aktor jahat mana pun bisa mengubah video pribadi menjadi publik, mengirim pesan ke teman atau orang asing, atau bahkan mengunggah video ke akun pengguna.
Ada banyak yang bermasalah, namun yang paling pasti ialah kerentanan yang memungkinkan aktor jahat mengumpulkan informasi akun pengguna, termasuk kata sandi, email, atau data sensitif lainnya. Para peneliti mengatakan kerentanan itu dinilai sebagai “keparahan tinggi.”
Sementara itu, TikTok tidak membuka mulut mengenai apakah ada pengguna yang dieksploitasi akibat kerentanan TikTok. Adapun para peneliti telah menemukan adanya eksploitasi data di aplikasi versi Asia Timur, dan versi TikTok yang digunakan oleh seluruh dunia. Jadi, pada dasarnya semua 1,5 miliar orang yang mengunduh TikTok mengalami kerentanan yang serupa.
Belum lama ini, juru bicara TikTok mengulangi poin yang diungkapkan oleh para peneliti Microsoft. Pun menambahkan bahwa “Melalui kemitraan kami dengan peneliti keamanan di Microsoft, kami menemukan dan dengan cepat memperbaiki kerentanan di beberapa versi lama aplikasi di Android. Kami menghargai para peneliti Microsoft atas upaya mereka untuk membantu mengidentifikasi potensi masalah sehingga kami dapat menyelesaikannya.”
Para peneliti memberi penekanan khusus pada bahaya yang dibuktikan oleh antarmuka JavaScript yang tak aman. Mereka menyarankan “agar pengembang menyadari risikonya dan mengambil tindakan pencegahan ekstra untuk mengamankan WebView.”
Baru-baru ini, peneliti lain menemukan JavaScript di TikTok yang berpotensi merekam semua input pengguna saat mereka berada di browser dalam aplikasi aplikasi. TikTok dengan tegas membantah menggunakan JavaScript itu, dan mengatakan bahwa kode tersebut ditujukan untuk debugging dan pemecahan masalah backend.
