TikTok: Exploit-Chain ermöglichte Accountübernahme "mit einem Klick"
Das Videoportal TikTok hat einem Sicherheitsforscher fast 4000 US-Dollar Prämie für zwei Schwachstellen-Funde gezahlt. Die Probleme sind seit September behoben.
(Bild: XanderSt/Shutterstock.com)
TikTok beziehungsweise dessen Betreiber ByteDance hat einem Forscher 3860 US-Dollar Belohnung gezahlt, nachdem dieser ihm im Rahmen eines Responsible-Disclosure-Verfahrens, also unter verantwortungsvollen, vordefinierten Rahmenbedingungen zwei Schwachstellen in dem Videoportal gemeldet hatte. Eine Kombination aus beiden Schwachstellen hätte unter bestimmten Voraussetzungen die Übernahme von TikTok-Accounts "mit einem Klick" ermöglicht.
Wie aus der Dokumentation des Vorgangs auf der Bug-Bounty-Plattform Hackerone hervorgeht, über die der Responsible-Disclosure-Prozess lief, hat der Forscher Muhammed Taskiran ("milly") seinen Report Ende August an das TikTok-Team übermittelt. Der ermittelte Schweregrad der Schwachstellen-Kombination wurde Anfang September von Medium (6.1) auf High (8.2) angehoben. Am 18 September sei das Sicherheitsproblem dann serverseitig behoben worden. Für Nutzer bestand kein Handlungsbedarf.
Exploit-Code als URL-Parameter übergeben
Die Informationen zu den Sicherheitslücken und der von "milly" gebastelten Angriffskombination bei Hackerone beschränken sich auf kurze Zusammenfassungen . Demnach ermöglichte eine der beiden Schwachstellen so genanntes reflektiertes, also serverseitiges Cross-Site-Scripting durch Übergabe eines serverseitig nicht ausreichend überprüften und bereinigten URL-Parameters.
Die zweite Schwachstelle betraf einen Endpunkt in der TikTok-Infrastruktur, der anfällig für Cross-Site Request Forgery (CSRF) war. CSRF-Angriffe ermöglichen Transaktionen im Kontext eines bereits angemeldeten Nutzers.
Die Kombination beider Lücken zu einer Exploit-Chain bewerkstelligte "milly" mit JavaScript-Code, den er dank Schwachstelle eins zunächst als URL-Parameter an den TikTok-Server senden und zur Ausführung bringen konnte. Der Code triggerte dort die CSRF-Schwachstelle – mit dem Ergebnis, dass der Forscher neue Passwörter für bestehende Accounts vergeben konnte. Das Ganze funktionierte allerdings nur dann, wenn zum Einloggen in den jeweiligen Account in der Vergangenheit eine (nicht näher bezeichnete) Drittanbieter-App genutzt worden war.
(ovw)
