Peneliti keamanan dari Microsoft menemukan celah keamanan berbahaya di aplikasi TikTok untuk Android. Celah keamanan ini bisa dimanfaatkan hacker untuk membobol akun yang tidak sengaja klik link berbahaya.

Detail soal celah keamanan ini diungkap oleh peneliti dari Microsoft 365 Defender Research Team. Microsoft langsung melaporkan temuan celah keamanan ini kepada TikTok dan untungnya sudah ditambal.

"Kami memberikan mereka informasi tentang kerentanan ini dan berkolaborasi untuk memperbaiki masalah ini," kata peneliti Microsoft Tanmay Ganacharya, seperti dikutip dari The Verge, Jumat (2/9/2022).

"TikTok merespon dengan cepat, dan kami memuji resolusi yang efisien dan profesional dari tim keamanan," sambungnya.

Celah keamanan ini bisa dimanfaatkan untuk membajak akun milik pengguna TikTok di Android tanpa sepengetahuan mereka hanya dengan satu klik saja. Setelah pengguna klik link berbahaya, hacker akan bisa mengakses semua fungsi utama termasuk upload video, kirim pesan ke pengguna lain, dan melihat video private yang disimpan di akun.

Menurut postingan blog Microsoft, celah keamanan ini melibatkan fungsi 'deep linking'. Di perangkat Android, developer bisa memprogram aplikasinya untuk menangani URL tertentu dengan cara yang spesifik. Misalnya, saat klik embed Twitter di Chrome maka akan langsung membuka aplikasi Twitter di ponsel.

Namun, Microsoft berhasil mencari cara untuk membobol proses verifikasi yang diterapkan oleh TikTok untuk membatasi deep link agar tidak mengeksekusi tindakan tertentu. Mereka kemudian menemukan bahwa kerentanan itu bisa digunakan untuk membajak akun TikTok.

Celah keamanan ini disebut sangat berbahaya karena mempengaruhi semua varian global aplikasi TikTok yang sudah diunduh lebih dari 1,5 miliar kali. Untungnya celah keamanan ini bisa dideteksi dan ditambal sebelum dimanfaatkan oleh orang tidak bertanggung jawab.

Microsoft menyarankan semua pengguna TikTok di Android untuk download aplikasi versi terbaru secepat mungkin. Pengguna juga bisa melindungi akunnya agar tidak menjadi korban pembajakan di masa depan dengan tidak klik link secara sembarangan.