Forscher von Check Point haben mehrere kritische Sicherheitslücken in der Video-Sharing- und Social-Networking-App TikTok entdeckt. Sie erlauben es unter anderem, in die Privatsphäre von Nutzern einzudringen und deren Daten zu stehlen. Ob die Fehler tatsächlich von Hackern ausgenutzt wurden, ist nicht bekannt.
Check Point fand außerdem eine Schwachstelle in der TikTok-Website, die Cross-Site-Scripting ermöglichte. Schädliche Skripte wiederum erlaubten es, die Suchfunktion des Hilfe-Centers für TikTok Ads zu nutzen, um das TikTok-Konto eines Nutzern zu manipulieren. Unter anderem war es möglich, Videos zu löschen, als privat markierte Video öffentlich zu machen oder im Namen des Nutzers eigene Videos zu veröffentlichen.
Darüber hinaus kombinierten die Forscher die SMS-Lücke mit dem XSS-Bug, um vertrauliche Daten zu stehlen. Unter anderem erhielten sie so Zugriff auf Namen von TikTok-Nutzern, deren E-Mail-Adressen und Geburtsdaten.
“ Social-Media-Anwendungen sind sehr beliebte Ziele, da sie eine gute Quelle für persönliche, private Daten sind und eine große Angriffsfläche bieten. Böswillige Akteure geben viel Geld und Zeit aus, um in diese äußerst beliebten Anwendungen einzudringen – dennoch gehen die meisten Nutzer davon aus, dass sie durch die von ihnen verwendete Anwendung geschützt sind“, sagt Oded Vanunu, Leiter der Produkt-Schwachstellenforschung bei Check Point.
Check Point meldete die Anfälligkeiten bereits Ende 2019 an die chinesische TikTok-Mutter ByteDance. TikTok wiederum bestätigte gegenüber ZDNet.com, dass die Patches in Zusammenarbeit mit Check Point entwickelt wurden. „TikTok sieht sich in der Pflicht, Nutzerdaten zu schützen“, teilte das Unternehmen mit. Mit Check Point sei vereinbart worden, die Schwachstellen erst öffentlich zu machen, nachdem Patches zur Verfügung gestellt wurden. Von daher sollten Nutzer der App kontrollieren, ob sie bereits die neueste Version verwenden.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…