Sociaal medium TikTok heeft lekken gedicht die het mogelijk maakten voor een aanvaller om een video te uploaden op het account van een slachtoffer, video's te verwijderen of privévideo's openbaar te maken. Het volledig overnemen van een account kon niet.

De aanval was mogelijk door meerdere exploits naast elkaar te gebruiken, meldt Check Point Research. De belangrijkste daarbij waren dat het op twee manieren mogelijk was om willekeurige Javascript uit te voeren in de app met de cookies van een gebruiker die op een link klikt. Daardoor kon een aanvaller Javascript uitvoeren terwijl een gebruiker was ingelogd.
De ene is een xss-lek op ads.tiktok.com, waarbij de site de invoer niet checkte. Het andere lek zat in het niet controleren van de url achter een redirect, zodat gebruikers na het inloggen op een webpagina van een aanvaller terecht konden komen.
De aanval kon beginnen via de sms-functie op de website van TikTok, waarmee gebruikers zichzelf een link kunnen sturen om de TikTok-app te downloaden. Daarbij bleek het makkelijk voor een aanvaller om de downloadlink te wijzigen om zo elke willekeurige url te sturen. Zolang de url begint volgens een bepaald formaat, zal een mobiel besturingssysteem die openen in de TikTok-app. De sms lijkt van TikTok te komen.
Vervolgens bleek het mogelijk om Javascript uit te voeren via xss of de redirect-truc. Met die Javascript bleek het mogelijk de server te vragen een video toe te voegen, te verwijderen of te wijzigen. Het overnemen van het account is via de truc niet mogelijk. TikTok heeft de lekken vorige maand gedicht. Er lijkt geen grootschalig misbruik te zijn geweest van de lekken.