Check Point-Forscher haben vier schwerwiegende Sicherheitslücken bei Tik Tok entdeckt, die Nutzerdaten gefährden
Es war die beliebteste App des Jahres 2019, wird es sicherlich auch 2020 sein, hat über 1 Milliarde Abonnenten und ist die einzige, die derzeit in der Lage ist, dem Facebook-Konzern Angst einzujagen. Aber sie ist bei weitem nicht perfekt. Forscher von Check Point Research fanden vier schwerwiegende Schwachstellen in der TikTok-App und einige Probleme mit der offiziellen Website.
ByteDance, das chinesische Unternehmen, das TikTok entwickelt, hat die Berichte von Check Point aufgegriffen und die Schwachstellen in der App mit einem Update geschlossen und auch die Probleme mit der Website behoben. Jeder, der TikTok nutzt, ist daher gut beraten, die App sofort zu aktualisieren, da die Risiken ansonsten recht hoch sind: TikTok konnte nämlich vor dem Update von Hackern mit einer einfachen Spoofing-SMS angegriffen werden, die den Nutzer auf eine bösartige Website führte, die die TikTok-Homepage imitierte.
Die vier TikTok-Schwachstellen
Nach Angaben von Alon Boxiner, Eran Vaknin, Alexey Volodin, Dikla Barda und Roman Zaikin, den fünf Forschern, die die vier schwerwiegenden Fehler in der TikTok-App gefunden haben, kann man mit ein paar einfachen und gar nicht so komplizierten Schritten ein TikTok-Konto übernehmen, Videos löschen und ohne die Erlaubnis des Nutzers weitere hochladen, private und versteckte Videos veröffentlichen und persönliche Informationen, die mit dem Konto verknüpft sind, wie private E-Mail-Adressen, preisgeben.
TikTok: Vorsicht vor SMS
Um ein TikTok-Konto zu hacken, genügt es, eine SMS an das Opfer zu senden, in der es aufgefordert wird, die App herunterzuladen und ein Video anzusehen. Diese Funktion ist eine der Methoden, die ByteDance gewählt hat, um neue Nutzer zur Nutzung des Dienstes einzuladen, und auf der offiziellen TikTok-Website gibt es ein spezielles Feld für das Versenden von Videos. Wer eine solche Textnachricht erhält, ist daher in der Regel nicht beunruhigt. Check Point entdeckte jedoch, dass es möglich war, SMS-Nachrichten so zu fälschen, dass sie aussahen, als kämen sie von TikTok. Sobald der Nutzer auf den gefälschten Link geklickt hat, kann ein Hacker auf Teile des TikTok-Kontos zugreifen. Check Point entdeckte auch, dass die Infrastruktur von TikTok es einem Hacker ermöglichte, den bereits angegriffenen Nutzer auf eine bösartige Website umzuleiten, die wie die Homepage von TikTok aussah.
TikToks Reaktion
Check Point entdeckte die vier schwerwiegenden Sicherheitslücken bei TikTok im November 2019, hielt sie aber geheim, bis das Unternehmen in der Lage war, seine App und Website zu patchen. "TikTok setzt sich für den Schutz der Nutzerdaten ein", erklärt das Unternehmen in einer Mitteilung. "Wie viele andere Unternehmen ermutigen wir Sicherheitsforscher, uns privat Zero-Day-Schwachstellen mitzuteilen. Vor der öffentlichen Bekanntgabe hat Check Point zugesagt, dass alle gemeldeten Probleme in der neuesten Version unserer App behoben wurden. Wir hoffen, dass diese erfolgreiche Enthüllung die künftige Zusammenarbeit mit Forschern im Bereich der Cybersicherheit fördern wird.