TikTok-App: Check Point Research enthüllt Schwachstellen

Persönliche Informationen hätten gestohlen und Konten manipuliert werden können

[datensicherheit.de, 08.01.2020] Die weltweit sehr beliebte App „TikTok“ verzeichnet laut Check Point Research 800 Millionen Nutzer, davon 5,5 Millionen alleine in Deutschland. Sie gehöre zu den am schnellsten wachsenden Anwendungen. Nun hätten hauseigene Sicherheitsforscher Lücken in der Infrastruktur gefunden.

Foto: Check Point

Oded Vanunu: Angreifer hätten Inhalte auf Benutzerkonten manipulieren können…

E-Mail-Adressen und Kontaktdaten hätten ausgelesen werden können

Check Point Research, die „Threat Intelligence“-Abteilung der Check Point® Software Technologies Ltd. Hat am 8. Januar 2020 mehrere Schwachstellen in der beliebten App „TikTok“ enthüllt.
Diese ermöglichten es Angreifern, Inhalte auf Benutzerkonten zu manipulieren und sogar vertrauliche, persönliche Informationen, die auf diesen Konten gespeichert sind, zu extrahieren – darunter E-Mail-Adressen und Kontaktdaten.

TikTok hauptsächlich von Jugendlichen und Kindern verwendet

„TikTok“ werde hauptsächlich von Jugendlichen und Kindern verwendet, „die diese App benutzen, um private (und oft sehr sensible) Videos von sich selbst und ihren Lieben zu teilen“, so Oded Vanunu, „Head of Product Vulnerability Research“ bei Check Point.
Die Untersuchung habe ergeben, dass ein Angreifer eine gefälschte SMS-Nachricht mit einem bösartigen Link an einen Benutzer senden könne. „Wenn der Benutzer auf den bösartigen Link klickte, konnte der Angreifer an das ,TikTok‘-Konto gelangen und dessen Inhalt manipulieren, wobei er Videos löschte, unautorisierte Videos hochlud und private oder ‚versteckte‘ Videos öffentlich machte.“

TikTok-Subdomain anfällig für XSS-Angriffe gewesen

Die Untersuchung habe auch ergeben, dass die „TikTok“-Subdomain „ads.tiktok.com“ anfällig für XSS-Angriffe gewesen sei. Dies sei ein Angriff, bei dem bösartige Skripte in ansonsten gutartige und vertrauenswürdige Websites eingeschleust würden.
Die Sicherheitsforscher von Check Point haben demnach diese Schwachstelle ausgenutzt, „um persönliche Informationen abzurufen, die auf Benutzerkonten gespeichert sind, einschließlich privater E-Mail-Adressen und Geburtsdaten“.

TikTok-Entwickler über aufgedeckte Schwachstellen informiert

Check Point Research hat nach eigenen Angaben die „TikTok“-Entwickler über die in dieser Untersuchung aufgedeckten Schwachstellen informiert. Inzwischen sei ein Fix veröffentlicht worden, „um sicherzustellen, dass die Benutzer die TikTok-App weiterhin ungefährdet nutzen können“.
Ihre neuen Untersuchungen zeigten, dass die auch beliebtesten Anwendungen immer noch gefährdet seien, warnt Vanunu. „Social-Media-Angriffe sind sehr gezielt auf Schwachstellen ausgerichtet, da sie eine gute Quelle für private Daten und eine große Angriffsfläche bieten. Böswillige Akteure geben große Mengen an Geld aus und unternehmen viele Anstrengungen, um in solche riesigen Anwendungen einzudringen. Dennoch gehen die meisten Nutzer davon aus, dass sie durch die von ihnen genutzte Anwendung geschützt wären.“

TikTok in über 150 Ländern erhältlich

„TikTok ist dem Schutz der Benutzerdaten verpflichtet. Wie viele Organisationen ermutigen auch wir verantwortungsbewusste Sicherheitsforscher dazu, Zero-Day-Schwachstellen privat an uns zu melden. Vor der öffentlichen Bekanntgabe stimmte Check Point zu, dass alle gemeldeten Probleme in der neuesten Version unserer App ‚gepatcht‘ wurden. Wir hoffen, dass diese erfolgreiche Lösung die zukünftige Zusammenarbeit mit Sicherheitsforschern fördert“, kommentiert Dr. Luke Deshotels aus dem TikTok-Sicherheitsteam.
„TikTok“ sei in über 150 Ländern erhältlich, werde weltweit in 75 Sprachen verwendet und sei mit über 800 Millionen Nutzern definitiv eine der am häufigsten heruntergeladenen Apps. Im Oktober 2019 sei „TikTok“ die am meisten heruntergeladene App in den Vereinigten Staaten gewesen und damit die erste chinesische App, welche einen solchen Rekord erreicht habe. In Deutschland seien es derzeit rund 5,5 Millionen Nutzer – mehr als in Großbritannien, Italien, Spanien oder Frankreich.

Weitere Informationen zum Thema:

<cp>r CHECK POINT RESEARCH, 08.01.2020
Tik or Tok? Is TikTok secure enough?

Check Point Software Technologies, Ltd. auf YouTube, 08.01.2010
Tik or Tok? Is TikTok Secure Enough? Check Point Reveals Vulnerabilities in TikTok