TikTok: Serverseitige Schwachstellen ermöglichten Account-Manipulationen
Mittels manipulierter Download-Links für die Video-App TikTok hätten Angreifer laut Forschern bis vor kurzem auf Accounts zugreifen können.
(Bild: Primakov/Shutterstock.com)
Forscher der IT-Sicherheitsfirma Check Point haben mehrere Schwachstellen in Web-Backend und -Infrastruktur der beliebten Video-App TikTok entdeckt. Versierte Angreifer hätten sie missbrauchen können, um sich Zugriff zu TikTok-Konten zu verschaffen und etwa Account-Daten auszulesen, Videos zu löschen oder hinzuzufügen oder den Video-Status von "privat" nach "öffentlich" zu ändern. Ein erfolgreicher Angriff auf die Schwachstellen hätte allerdings vorausgesetzt, dass das potenzielle Opfer einen via SMS versendeten Link angeklickt hätte.
(Bild: Screenshot)
Nach eigenen Angaben hat das Forschertam die TikTok-Entwickler von ByteDance bereits Ende November über die gefundenen Schwachstellen informiert. Laut Check Point brauchen TikTok-Nutzer nicht aktiv zu werden: ByteDance habe die serverseitig bedingten Sicherheitsprobleme innerhalb eines Monats behoben und TikTok somit unabhängig von einer bestimmten App-Version gegen Angriffe abgesichert.
Angriffsmöglichkeiten via SMS Link Spoofing
Die von Check Point in einem Blogeintrag beschriebenen Angriffszenarien basieren auf der Möglichkeit, auf der Website tiktok.com eine beliebige Telefonnummer einzugeben, um sich via SMS einen Download-Link zur App schicken zu lassen. Mit dem Netzwerkanalyse-Tool Burp Suite analysierten die Forscher den bei Übermittlung einer Eingabe erzeugten HTTP-Request. Sie stellten fest, dass es durch Manipulation zweier Parameter möglich war, SMS im Namen von TikTok an eine beliebige (fremde) Nummer zu schicken und den enthaltenen TikTok-Download-Link durch einen eigenen Link zu ersetzen.
(Bild: Check Point (Ausschnitt))
(Bild: Check Point)
Angreifer hätten ihre Opfer mittels gespoofter Links auf eigens dafür eingerichtete Malware- oder Phishing-Websites lotsen können. Aufgrund weiterer, laut Check Point mittlerweile ebenfalls gefixter Schwachstellen in einigen TikTok-Subdomains wären aber noch andere, auf registrierte TikTok-Nutzer abzielende Angriffsszenarien denkbar gewesen. Dabei hätte ein Angreifer eine der Subdomains in Kombination mit bestimmten Parametern nebst speziell präparierten Werten in der SMS platzieren müssen.
Mangelhafte Validierungsmechanismen hätten dann unter anderem Redirects auf beliebige Websites unmittelbar nach dem TikTok-Login (Cross-Site-Scripting, Cross-Site-Request-Forgery), das Ausführen Account-bezogener Aktionen (z.B. Videos löschen/hochladen) sowie das Abgreifen von Accountdaten (einschließlich E-Mail-Adresse, Geburtsdatum und Zahlungsinformationen) ermöglicht. Über tatsächliche Angriffe auf die Schwachstellen ist allerdings nichts bekannt.
- Chinesische App TikTok: US-Untersuchung wegen Datenschutz- und Zensurbedenken
- TikTok: U.S. Army untersagt Soldaten die Nutzung auf Dienst-Smartphones
- TikTok veröffentlicht Transparenzbericht: China taucht nicht auf
(ovw)
