Die Sicherheitsforscher von Check Point haben zum zweiten Mal eine gefährliche Schwachstelle in der TikTok-App entdeckt. Hacker konnten sämtliche Profil-Informationen und die Telefonnummer von Nutzern stehlen. Bereits im Januar 2020 fanden die Experten von Check Point mehrere kritische Schwachstellen in der Applikation.
Hackern war es möglich über eine Sicherheitslücke in der Funktion Find Friends die Schutzfunktionen zu umgehen und auf die Profile von Nutzern zuzugreifen. Auf diese Weise konnten alle personenbezogenen Informationen, wie die einmalige Nutzer-ID, gestohlen werden – einschließlich der Telefonnummer – um eine Datenbank aufzubauen, die für Malware-Attacken genutzt werden kann.
Check Point meldete die Lücke umgehend an TikTok und sie wurde bereits durch einen Fix geschlossen, der daher umgehend installiert werden sollte. Bis dahin aber war die Schwachstelle ausnutzbar und es ist wahrscheinlich, dass einige Nutzer bereits unbemerkt das Opfer von Hackern wurden.
Ablauf der Attacke:
- Eine Liste von Geräten wird erstellt (mit Geräte-ID), die Anfragen an die TikTok-Server schicken.
- Erstellung einer Liste von Session Tokens (jeder gültig für 60 Tage), die für die Anfragen an die TikTok-Server genutzt werden.
- Der Signatur-Mechanismus von TikToks http-Schutz wird umgangen durch Nutzung deren eigenen Dienstes. Dieser wird im Hintergurnd ausgeführt.
- Zusammenführung aller Schritte durch Modifizierung von http-Anfragen, erneuter Signierung dieser und Nutzung der Session Tokens sowie Geräte-IDs, um die Anfragen an TikToks Schutzmaßnahmen vorbeizuschmuggeln.
Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point erklärt: „Dieses Mal war unser Ziel, den Schutz der Privatsphäre in TikTok zu erforschen. Wir waren neugierig, ob die TikTok-Plattform missbraucht werden kann, um an Nutzerdaten zu gelangen und tatsächlich: Wir waren in der Lage, mehrere Schutzmechanismen von TikTok zu umgehen.“
„Ein Hacker, der über so viele empfindliche Informationen über eine Person verfügt, kann sehr gezielt und einfach eine Reihe von Angriffen ausführen, wie Spear-Phishing oder Social Engineering. Wir empfehlen daher allen Nutzern der TikTok-App: Geben Sie nicht mehr über sich preis, als nötig ist und aktualisieren Sie umgehend die Anwendung.“
TikTok selbst begrüßt die Zusammenarbeit mit Check Point: „Die Sicherheit und der Datenschutz der TikTok-Community haben für uns höchste Priorität. Wir schätzen daher die Arbeit von vertrauenswürdigen Partnern, wie Check Point, die uns helfen, potentielle Probleme zu identifizieren und zu beheben, bevor diese die Nutzer beeinträchtigen.“
„Wir stärken außerdem weiterhin unsere Verteidigungsmaßnahmen: Sowohl durch die ständige Verbesserung interner Fähigkeiten, dazu gehört die Investition in Automatisierung, als auch durch die Zusammenarbeit mit Drittanbietern.“