TikTok: Erneut Schwachstelle entdeckt

Hacker konnten sämtliche Profil-Informationen und die Telefonnummer von Nutzern stehlen

[datensicherheit.de, 26.01.2021] Die Sicherheitsforscher von Check Point® Software Technologies Ltd. warnen vor einer neuen Schwachstelle in der App von TikTok. Hackern war es möglich über eine Sicherheitslücke in der Funktion Find Friends die Schutzfunktionen zu umgehen und auf die Profile von Nutzern zuzugreifen. Auf diese Weise konnten alle personenbezogenen Informationen, wie die einmalige Nutzer-ID, gestohlen werden – einschließlich der Telefonnummer – um eine Datenbank aufzubauen, die für Malware-Attacken genutzt werden kann. Bereits im Januar 2020 fanden die Experten von Check Point mehrere kritische Schwachstellen in der Applikation.

Check Point meldete die Lücke umgehend an TikTok und sie wurde bereits durch einen Fix geschlossen, der daher umgehend installiert werden sollte. Bis dahin aber war die Schwachstelle ausnutzbar und es ist wahrscheinlich, dass einige Nutzer bereits unbemerkt das Opfer von Hackern wurden.

Ablauf der Attacke:

1. Eine Liste von Geräten wird erstellt (mit Geräte-ID), die Anfragen an die TikTok-Server schicken.
2. Eine Liste von Session Tokens (jeder gültig für 60 Tage) wird erstellt, die für die Anfragen an die TikTok-Server genutzt werden.
3. Der Signatur-Mechanismus von TikToks http-Schutz wird umgangen durch Nutzung deren eigenen Dienstes. Dieser wird im Hintergurnd ausgeführt.
4. Zusammenführung aller Schritte durch Modifizierung von http-Anfragen, erneuter Signierung dieser und Nutzung der Session  Tokens sowie Geräte-IDs, um die Anfragen an TikToks Schutzmaßnahmen vorbeizuschmuggeln.

Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point Software Technologies, Foto: Check Point

Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point Software Technologies erklärt: „Dieses Mal war unser Ziel, den Schutz der Privatsphäre in TikTok zu erforschen. Wir waren neugierig, ob die TikTok-Plattform missbraucht werden kann, um an Nutzerdaten zu gelangen und tatsächlich: Wir waren in der Lage, mehrere Schutzmechanismen von TikTok zu umgehen. Die gefundene Schwachstelle ermöglichte es einem Angreifer, sensible Informationen zu stehlen, um eine Datenbank mit Benutzerdaten und den zugehörigen Telefonnummern aufzubauen. Ein Hacker, der über so viele empfindliche Informationen über eine Person verfügt, kann sehr gezielt und einfach eine Reihe von Angriffen ausführen, wie Spear-Phishing oder Social Engineering. Wir empfehlen daher allen Nutzern der TikTok-App: Geben Sie nicht mehr über sich preis, als nötig ist und aktualisieren Sie umgehend die Anwendung.“

TikTok selbst begrüßt die Zusammenarbeit mit Check Point: „Die Sicherheit und der Datenschutz der TikTok-Community haben für uns höchste Priorität. Wir schätzen daher die Arbeit von vertrauenswürdigen Partnern, wie Check Point, die uns helfen, potentielle Probleme zu identifizieren und zu beheben, bevor diese die Nutzer beeinträchtigen. Wir stärken außerdem weiterhin unsere Verteidigungsmaßnahmen: Sowohl durch die ständige Verbesserung interner Fähigkeiten, dazu gehört die Investition in Automatisierung, als auch durch die Zusammenarbeit mit Drittanbietern.“

Weitere Informationen zum Thema:

Check Point Software
TikTok fixes privacy issue discovered by Check Point Research

datensicherheit.de, 21.01.2021
Über Google auffindbar: Tausende gestohlene Passwörter

datensicherheit.de, 08.01.2020
TikTok-App: Check Point Research enthüllt Schwachstellen