Zugriff auf Konten und Daten: TikTok schließt kritische Sicherheitslücken

Sie erlauben unter anderem das Löschen und Veröffentlichen von Videos. Check Point entdeckt unter anderem eine XSS-Lücke in der TikTok-Website. Sie lässt sich auch mit anderen Bugs kombinieren, um Nutzerdaten zu stehlen.

Forscher von Check Point haben mehrere kritische Sicherheitslücken in der Video-Sharing- und Social-Networking-App TikTok entdeckt. Sie erlauben es unter anderem, in die Privatsphäre von Nutzern einzudringen und deren Daten zu stehlen. Ob die Fehler tatsächlich von Hackern ausgenutzt wurden, ist nicht bekannt.

TikTok (Bild: TikTok)Einer der jetzt behobenen Fehler steckte in der SMS-Funktion, mit der sich Nutzer einen Link zum Download der TikTok-App zuschicken können. Kennt ein Angreifer die Handynummer eines Opfers, kann er eine solche SMS fälschen und einen Link zu einem schädlichen Download einfügen.

Check Point fand außerdem eine Schwachstelle in der TikTok-Website, die Cross-Site-Scripting ermöglichte. Schädliche Skripte wiederum erlaubten es, die Suchfunktion des Hilfe-Centers für TikTok Ads zu nutzen, um das TikTok-Konto eines Nutzern zu manipulieren. Unter anderem war es möglich, Videos zu löschen, als privat markierte Video öffentlich zu machen oder im Namen des Nutzers eigene Videos zu veröffentlichen.

Darüber hinaus kombinierten die Forscher die SMS-Lücke mit dem XSS-Bug, um vertrauliche Daten zu stehlen. Unter anderem erhielten sie so Zugriff auf Namen von TikTok-Nutzern, deren E-Mail-Adressen und Geburtsdaten.

“ Social-Media-Anwendungen sind sehr beliebte Ziele, da sie eine gute Quelle für persönliche, private Daten sind und eine große Angriffsfläche bieten. Böswillige Akteure geben viel Geld und Zeit aus, um in diese äußerst beliebten Anwendungen einzudringen – dennoch gehen die meisten Nutzer davon aus, dass sie durch die von ihnen verwendete Anwendung geschützt sind“, sagt Oded Vanunu, Leiter der Produkt-Schwachstellenforschung bei Check Point.

Check Point meldete die Anfälligkeiten bereits Ende 2019 an die chinesische TikTok-Mutter ByteDance. TikTok wiederum bestätigte gegenüber ZDNet.com, dass die Patches in Zusammenarbeit mit Check Point entwickelt wurden. „TikTok sieht sich in der Pflicht, Nutzerdaten zu schützen“, teilte das Unternehmen mit. Mit Check Point sei vereinbart worden, die Schwachstellen erst öffentlich zu machen, nachdem Patches zur Verfügung gestellt wurden. Von daher sollten Nutzer der App kontrollieren, ob sie bereits die neueste Version verwenden.

WEBINAR

HPE ProLiant Gen10 Plus Server mit AMD EPYC-Prozessoren der 2. Generation

Neben der herausragenden Performance bieten die neuen HPE ProLiant Gen10 Plus Server mit AMD® EPYC™ Prozessoren der 2. Generation auch in Sachen Sicherheit einzigartige Features: HPEs Silicon Root of Trust ermöglicht zusammen mit dem AMD Secure-Processor einen sicheren Systemstart, Arbeitsspeicherverschlüsselung und sichere Virtualisierung. Erfahren Sie in diesem Webinar, wie Sie von der überlegenen Leistung der HPE Server profitieren.

Themenseiten: Check Point, Security, Sicherheit, Soziale Netze, Video

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zugriff auf Konten und Daten: TikTok schließt kritische Sicherheitslücken

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *