TikTok: Sicherheitslücke erlaubte Diebstahl der Telefonnummer und Profildaten

Der ehemalige US-Präsident Donald Trump stellte TikTok gerne als Gefährdung der nationalen Sicherheit dar. Er argumentierte aber nun weniger mit Sicherheitslücken und mehr damit, dass die sensiblen Daten von US-Bürgern angeblich in China von der Regierung ausgewertet würden. Tatsächlich gab es aber laut den Sicherheitsforschern von Check Point Research eine kritische Sicherheitslücke in der App. Mittlerweile ist sie zwar geschlossen, sie ermöglichte es Unbefugten jedoch, Profildaten und Telefonnummern zu stibitzen.

Die Lücke ergab sich speziell durch die Funktion „Find Friends“. Durch den Missbrauch hätten Dritte die kompletten Profildaten anderer Nutzer, darunter die einmalige Nutzer-ID einschließlich der Telefonnummer, gestohlen werden können. TikTok schloss die Lücke umgehend, nachdem Check Point die Informationen an die Entwickler der App gemeldet hatte, bevor man nun in einem Blog-Beitrag die Problematik genauer schildert. Laut Check Point könnten Nutzer bereits Opfer der Attacke geworden sein, die folgendermaßen ablaufe:

Ablauf der Attacke:

1. Eine Liste von Geräten wird erstellt (mit Geräte-ID), die Anfragen an die TikTok-Server schicken.

2. Eine Liste von Session Tokens (jeder gültig für 60 Tage) wird erstellt, die für die Anfragen an die TikTok-Server genutzt werden.

3. Der Signatur-Mechanismus von TikToks http-Schutz wird umgangen durch Nutzung deren eigenen Dienstes. Dieser wird im Hintergrund ausgeführt.

4. Zusammenführung aller Schritte durch Modifizierung von http-Anfragen, erneuter Signierung dieser und Nutzung der Session Tokens sowie Geräte-IDs, um die Anfragen an TikToks Schutzmaßnahmen vorbeizuschmuggeln.

Ein Hacker könnte dann auf Basis der gestohlenen Daten etwa Spear-Phishing oder Social Engineering ausführen, um weiteren Schaden anzurichten bzw. sich zu bereichern. Die Empfehlung von Check Point Research für Nutzer von TikTok: Die App natürlich stets auf dem neuesten Stand halten und im Benutzerkonto / Profil nur so viele Informationen über sich preisgeben, wie unbedingt notwendig ist.

TikTok selbst hatte sich positiv über die Zusammenarbeit mit Check Point geäußert, die auf die Sicherheitslücke aufmerksam gemacht hatten. Man schätze die Partnerschaft und sei immer darauf bedacht, potenzielle Probleme zu erkennen und zu beheben, bevor überhaupt ein Nutzer darunter leide.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.