TikTok: Sicherheitslücke erlaubte Diebstahl der Telefonnummer und Profildaten
Der ehemalige US-Präsident Donald Trump stellte TikTok gerne als Gefährdung der nationalen Sicherheit dar. Er argumentierte aber nun weniger mit Sicherheitslücken und mehr damit, dass die sensiblen Daten von US-Bürgern angeblich in China von der Regierung ausgewertet würden. Tatsächlich gab es aber laut den Sicherheitsforschern von Check Point Research eine kritische Sicherheitslücke in der App. Mittlerweile ist sie zwar geschlossen, sie ermöglichte es Unbefugten jedoch, Profildaten und Telefonnummern zu stibitzen.
Die Lücke ergab sich speziell durch die Funktion „Find Friends“. Durch den Missbrauch hätten Dritte die kompletten Profildaten anderer Nutzer, darunter die einmalige Nutzer-ID einschließlich der Telefonnummer, gestohlen werden können. TikTok schloss die Lücke umgehend, nachdem Check Point die Informationen an die Entwickler der App gemeldet hatte, bevor man nun in einem Blog-Beitrag die Problematik genauer schildert. Laut Check Point könnten Nutzer bereits Opfer der Attacke geworden sein, die folgendermaßen ablaufe:
Ablauf der Attacke:
1. Eine Liste von Geräten wird erstellt (mit Geräte-ID), die Anfragen an die TikTok-Server schicken.
2. Eine Liste von Session Tokens (jeder gültig für 60 Tage) wird erstellt, die für die Anfragen an die TikTok-Server genutzt werden.
3. Der Signatur-Mechanismus von TikToks http-Schutz wird umgangen durch Nutzung deren eigenen Dienstes. Dieser wird im Hintergrund ausgeführt.
4. Zusammenführung aller Schritte durch Modifizierung von http-Anfragen, erneuter Signierung dieser und Nutzung der Session Tokens sowie Geräte-IDs, um die Anfragen an TikToks Schutzmaßnahmen vorbeizuschmuggeln.
Ein Hacker könnte dann auf Basis der gestohlenen Daten etwa Spear-Phishing oder Social Engineering ausführen, um weiteren Schaden anzurichten bzw. sich zu bereichern. Die Empfehlung von Check Point Research für Nutzer von TikTok: Die App natürlich stets auf dem neuesten Stand halten und im Benutzerkonto / Profil nur so viele Informationen über sich preisgeben, wie unbedingt notwendig ist.
TikTok selbst hatte sich positiv über die Zusammenarbeit mit Check Point geäußert, die auf die Sicherheitslücke aufmerksam gemacht hatten. Man schätze die Partnerschaft und sei immer darauf bedacht, potenzielle Probleme zu erkennen und zu beheben, bevor überhaupt ein Nutzer darunter leide.
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.
Du willst nichts verpassen?
Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.