Platform media sosial berbagi video TIK tok telah memperbaiki kerentanan yang berpotensi berbahaya dalam aplikasinya yang memungkinkan pelaku kejahatan untuk melihat dan memantau aktivitas pengguna di perangkat seluler dan desktop.

Ditemukan oleh tim merah yang bekerja di Imperva – pemasok penawaran perlindungan data – bug tersebut disebabkan oleh pengendali peristiwa pesan jendela yang tidak memvalidasi asal pesan dengan benar, yang memberi penyerang akses ke informasi pengguna yang sensitif, jelas peneliti Ron Masas.

“Dalam beberapa tahun terakhir, aplikasi web menjadi semakin kompleks, dengan berbagai pengembang memanfaatkannya Lebah [application programming interfaces] dan mekanisme komunikasi untuk meningkatkan fungsionalitas dan pengalaman pengguna,” katanya.

“Salah satu area yang menarik perhatian kami adalah event handler pesan. Berdasarkan pengalaman kami, penangan ini sering diabaikan sebagai sumber potensial kerentanan keamanan, meskipun mereka menangani input dari sumber eksternal.”

Dalam hal ini, masalahnya terletak pada PostMessage, atau HTML5 API Perpesanan Web. Ini adalah mekanisme komunikasi yang memungkinkan jendela atau iframe yang berbeda untuk melakukan komunikasi lintas sumber dengan aman di dalam aplikasi web.

Hal ini memungkinkan skrip dari asal yang berbeda untuk bertukar pesan guna mengatasi pembatasan yang diberlakukan oleh Kebijakan Asal-Sama, yang membatasi pembagian data antara sumber yang berbeda.

Masas dan timnya menemukan skrip di aplikasi web TikTok yang digunakan untuk pelacakan pengguna, yang berisi pengendali peristiwa pesan yang digunakan untuk memproses pesan masuk tertentu untuk sistem caching sisi klien.

Namun, mereka menemukan, event handler pesan ini tidak memvalidasi asal pesan yang masuk dengan benar, yang berarti rentan untuk dieksploitasi oleh pelaku ancaman. Mereka juga menemukan bahwa pawang mengirim kembali informasi pengguna yang sensitif sebagai tanggapan atas pesan-pesan ini.

“Dengan mengeksploitasi kerentanan ini, penyerang dapat mengirim pesan berbahaya ke aplikasi web TikTok melalui API PostMessage, melewati langkah-langkah keamanan,” kata Masas.

“Penanganan peristiwa pesan kemudian akan memproses pesan jahat seolah-olah berasal dari sumber tepercaya, memberikan penyerang akses ke informasi pengguna yang sensitif.”

Data yang diekspos dengan metode ini dapat mencakup informasi tentang perangkat korban, seperti jenis perangkat, sistem operasi, dan detail browser; video mana yang telah mereka tonton dan berapa lama; informasi akun mereka, termasuk nama pengguna, video yang diunggah, dan detail lainnya; dan permintaan pencarian yang mereka masukkan ke TikTok.

Informasi ini dapat digunakan untuk tujuan seperti serangan phishing yang ditargetkan, pencurian identitas, atau bahkan pemerasan, sehingga kerentanan tersebut terbukti sangat berharga bagi penjahat dunia maya.

“Tim Merah Imperva memberi tahu TikTok tentang kerentanan tersebut, yang segera diperbaiki. Kami ingin berterima kasih kepada TikTok atas tanggapan dan kerja sama mereka yang cepat, ”kata Masas. “Merupakan hak istimewa untuk bekerja sama dengan tim keamanan TikTok untuk membantu menjadikan TikTok platform yang lebih aman bagi penggunanya.

“Pengungkapan ini berfungsi sebagai pengingat akan pentingnya validasi asal pesan yang tepat dan potensi risiko memungkinkan komunikasi antar domain tanpa langkah keamanan yang tepat,” tambahnya.