Microsoft telah berkongsikan satu kerentanan serius yang mereka temui pada aplikasi TikTok. Sekiranya ia dieksploitasi, pihak ketiga boleh mengambil alih sesuatu akaun TikTok itu malahan mengutuskan kandungan bagi pihak pemilik akaun.
Berdasarkan satu tangkap yang dikongsi, pihak penyerang berkemampuan untuk menukar maklumat biografi sesuatu akaun.
Bagaimanakah ia dilakukan?
Cara kerjanya agak rumit untuk dikongsikan. Tapi semuanya dinyatakan dalam satu utusan di laman rasmi Microsoft. Secara ringkasnya, penyerang mengeksploitasi cara pengendalian deeplink oleh sistem operasi Android.
Contoh cara kerja deeplink adalah bila anda tekan sesuatu URL, akan ada satu pop-up untuk tanyakan APP apa yang ingin sistem operasi lancarkan bagi menyudahkan sesuatu pemprosesan URL.
Berita baik buat pengguna TikTok
Berita baik buat anda, kerentanan ini sudahpun ditampal dalam bulan Mac 2022 lalu. Menurut rekod, ia telah ditandakan selesai sekitar 2 minggu selepas ia dilaporkan dan menurut Microsoft, mereka tidak menemui sebarang eksploitasi kerentanan ini di dunia sebenar. Satu lagi berita baik adalah ia cuma menjejaskan TikTok versi Android sahaja.
Namun begitu, ia tidaklah bermakna anda selamat. Kerentanan senantiasa ditemukan kerana ia sentiasa dicari sama ada dengan niat baik ataupun sebaliknya. Di pihak pengguna, pastikan aplikasi yang anda gunakan sentiasa dikemas kini serta jangan klik pautan sebarangan bagi mengelakkan digodam tanpa sedar.
Sumber: Microsoft
