Door het combineren van meerdere kwetsbaarheden in de Androidversie van video-app TikTok was het mogelijk voor een aanvaller om willekeurige code op het toestel uit te voeren als gebruikers een link openden. TikTok heeft de verschillende beveiligingslekken inmiddels verholpen.

De in totaal vier verschillende bugs werden gevonden door beveiligingsonderzoeker Sayed Abdelhafiz, die nu een uitgebreide analyse heeft gepubliceerd. TikTok had te maken met twee cross-site scripting (XSS)-kwetsbaarheden waardoor het mogelijk was om JavaScript binnen de app uit te voeren. Een derde bug, die via de XSS-kwetsbaarheden kon worden aangeroepen, maakte het mogelijk om willekeurige onderdelen binnen de code van TikTok uit te voeren.

Het ging onder andere om een 'activity' waarmee een aanvaller een zip-bestand had kunnen downloaden waarmee verschillende 'native-libraries' door een kwaadaardige library konden worden overschreven. Zo had een aanvaller zijn code op het toestel kunnen uitvoeren. Abdelhafiz waarschuwde TikTok, waarna de kwetsbare XSS-code werd verwijderd, alsmede de activity die het downloaden van malafide code mogelijk maakte.