Forscher von Check Point haben mehrere kritische Sicherheitslücken in der Video-Sharing- und Social-Networking-App TikTok entdeckt. Sie erlauben es unter anderem, in die Privatsphäre von Nutzern einzudringen und deren Daten zu stehlen. Ob die Fehler tatsächlich von Hackern ausgenutzt wurden, ist nicht bekannt.
Einer der jetzt behobenen Fehler steckte in der SMS-Funktion, mit der sich Nutzer einen Link zum Download der TikTok-App zuschicken können. Kennt ein Angreifer die Handynummer eines Opfers, kann er eine solche SMS fälschen und einen Link zu einem schädlichen Download einfügen.
Check Point fand außerdem eine Schwachstelle in der TikTok-Website, die Cross-Site-Scripting ermöglichte. Schädliche Skripte wiederum erlaubten es, die Suchfunktion des Hilfe-Centers für TikTok Ads zu nutzen, um das TikTok-Konto eines Nutzern zu manipulieren. Unter anderem war es möglich, Videos zu löschen, als privat markierte Video öffentlich zu machen oder im Namen des Nutzers eigene Videos zu veröffentlichen.
Darüber hinaus kombinierten die Forscher die SMS-Lücke mit dem XSS-Bug, um vertrauliche Daten zu stehlen. Unter anderem erhielten sie so Zugriff auf Namen von TikTok-Nutzern, deren E-Mail-Adressen und Geburtsdaten.
“ Social-Media-Anwendungen sind sehr beliebte Ziele, da sie eine gute Quelle für persönliche, private Daten sind und eine große Angriffsfläche bieten. Böswillige Akteure geben viel Geld und Zeit aus, um in diese äußerst beliebten Anwendungen einzudringen – dennoch gehen die meisten Nutzer davon aus, dass sie durch die von ihnen verwendete Anwendung geschützt sind“, sagt Oded Vanunu, Leiter der Produkt-Schwachstellenforschung bei Check Point.
Check Point meldete die Anfälligkeiten bereits Ende 2019 an die chinesische TikTok-Mutter ByteDance. TikTok wiederum bestätigte gegenüber ZDNet.com, dass die Patches in Zusammenarbeit mit Check Point entwickelt wurden. „TikTok sieht sich in der Pflicht, Nutzerdaten zu schützen“, teilte das Unternehmen mit. Mit Check Point sei vereinbart worden, die Schwachstellen erst öffentlich zu machen, nachdem Patches zur Verfügung gestellt wurden. Von daher sollten Nutzer der App kontrollieren, ob sie bereits die neueste Version verwenden.
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
Noch keine Kommentare zu Zugriff auf Konten und Daten: TikTok schließt kritische Sicherheitslücken
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.