Forscher von Check Point haben mehrere kritische Sicherheitslücken in der Video-Sharing- und Social-Networking-App TikTok entdeckt. Sie erlauben es unter anderem, in die Privatsphäre von Nutzern einzudringen und deren Daten zu stehlen. Ob die Fehler tatsächlich von Hackern ausgenutzt wurden, ist nicht bekannt.
Check Point fand außerdem eine Schwachstelle in der TikTok-Website, die Cross-Site-Scripting ermöglichte. Schädliche Skripte wiederum erlaubten es, die Suchfunktion des Hilfe-Centers für TikTok Ads zu nutzen, um das TikTok-Konto eines Nutzern zu manipulieren. Unter anderem war es möglich, Videos zu löschen, als privat markierte Video öffentlich zu machen oder im Namen des Nutzers eigene Videos zu veröffentlichen.
Darüber hinaus kombinierten die Forscher die SMS-Lücke mit dem XSS-Bug, um vertrauliche Daten zu stehlen. Unter anderem erhielten sie so Zugriff auf Namen von TikTok-Nutzern, deren E-Mail-Adressen und Geburtsdaten.
“ Social-Media-Anwendungen sind sehr beliebte Ziele, da sie eine gute Quelle für persönliche, private Daten sind und eine große Angriffsfläche bieten. Böswillige Akteure geben viel Geld und Zeit aus, um in diese äußerst beliebten Anwendungen einzudringen – dennoch gehen die meisten Nutzer davon aus, dass sie durch die von ihnen verwendete Anwendung geschützt sind“, sagt Oded Vanunu, Leiter der Produkt-Schwachstellenforschung bei Check Point.
Check Point meldete die Anfälligkeiten bereits Ende 2019 an die chinesische TikTok-Mutter ByteDance. TikTok wiederum bestätigte gegenüber ZDNet.com, dass die Patches in Zusammenarbeit mit Check Point entwickelt wurden. „TikTok sieht sich in der Pflicht, Nutzerdaten zu schützen“, teilte das Unternehmen mit. Mit Check Point sei vereinbart worden, die Schwachstellen erst öffentlich zu machen, nachdem Patches zur Verfügung gestellt wurden. Von daher sollten Nutzer der App kontrollieren, ob sie bereits die neueste Version verwenden.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
