Sie sind hier:

Sicherheitslücke bei Videoportal - Millionen deutsche TikTok-Nutzer gefährdet

Datum:

Israelische Sicherheitsforscher haben erneut eine Sicherheitslücke in der TikTok-App gefunden. Wieder sind in Deutschland mehr als fünf Millionen Nutzer gefährdet.

Das Logo der chinesischen Video-App TikTok.
Wieder gibt es Schwachstellen bei TikTok.
Quelle: XinHua/dpa/Archiv

Vor ziemlich genau einem Jahr waren die Nutzer des Videonetzwerks TikTok hochgradig alarmiert. Experten des israelischen IT-Sicherheitsunternehmens Checkpoint hatten gleich mehrere Schwachstellen in der TikTok-App und auf der Webseite gefunden. TikTok schloss die gefundenen Sicherheitslücken rasch und versprach, die Sicherheit der Anwender künftig stärker in den Fokus zu nehmen.

Zugriff auf persönliche Nutzerdaten

Doch jetzt haben Sicherheitsforscher desselben israelischen Unternehmens eine neue Schwachstelle in der TikTok-App gefunden. Über diese Sicherheitslücke in der Funktion "Finde Freunde" war der Zugriff auf Daten der Nutzerprofile möglich. So konnten Nutzer-ID, Telefonnummern und ähnliche personenbezogene Informationen ausgespäht werden.

Solche Nutzerdaten werden von Online-Kriminellen für Angriffe mit Schadsoftware genutzt, wie zum Beispiel bei Phishing-Attacken. Dabei werden Nutzern Mails mit persönlichen und vertraulichen Inhalten auf Basis der ausgespähten persönlichen Daten zugestellt. Die Mails enthalten Anhänge mit Schadsoftware oder Links zu Malware-verseuchten Webseiten.

Öffnet der Mail-Empfänger den Anhang oder klickt auf den mitgeschickten Link, wird Schadsoftware auf sein Gerät gespielt, die das Gerät selbst und das Netzwerk, in dem es sich befindet, ausspäht. Phishing-Attacken sind das Einfallstor, um ganze Computer-Netzwerke zu manipulieren oder lahmzulegen.

Donald Trump wollte TikTok aus den USA verbannen – vornehmlich aus Sorge um den Datenschutz. Der App scheint der Streit nicht zu schaden –in Europa gibt es Millionen Nutzer*innen.

Beitragslänge:
15 min
Datum:

Geschickte Angriffskombination

Im Falle der jetzt aufgedeckten Sicherheitslücke in der TikTok-App konnte der Zugriff auf persönliche Daten, die fürs Phishing absolute Voraussetzung sind, durch geschicktes Manipulieren einer Anwendung des Web-Protokolls "Hyper Text Transfer Protocol" (http) gelingen. Die Sicherheitsforscher von Checkpoint haben eine entsprechende Attacke entwickelt, um die Gefährlichkeit der Sicherheitslücke genauer nachweisen und analysieren zu können.

Dabei haben sie zunächst eine Liste der Endgeräte erstellt, die Anfragen an die TikTok-Server geschickt haben. Für diese Anfragen wurden Sicherheitsmechanismen namens Session Tokens genutzt, damit keine Unbefugten auf die Nutzerprofile zugreifen können. Diese Session Tokens sind bis zu 60 Tage gültig.

App selber als Schwachstelle

Alle diese Anfragen und Datentransfers werden mithilfe des Web-Protokolls "http" ausgeführt. Allerdings haben die Sicherheitsforscher den Signatur-Mechanismus von TikTok bei derartigen Anfragen ausgehebelt. Es handelt sich also um eine Sicherheitslücke in der TikTok-App. Es ist keine Sicherheitslücke des Webprotokolls selbst.

Nur durch die geschickte Kombination von http-Anfragen mit Signierung durch die angreifenden Sicherheitsforscher und Nutzung von Session Tokens sowie Geräte-IDs konnte auf die Daten der Nutzerprofile zugegriffen werden. Die Checkpoint-Sicherheitsforscher haben den genauen Ablauf ihres digitalen Angriffs präzise dokumentiert.

Sicherheitsarbeiten erforderlich

Die Sicherheitslücke haben sie TikTok recht früh gemeldet, so dass die Verantwortlichen des Videonetzwerkes einen sogenannten Sicherheitsfix erstellen lassen konnten, mit dem die Lücke geschlossen wurde. TikTok-Anwender sollten diesen Sicherheitsfix rasch installieren.

Die jetzt aufgedeckte Sicherheitslücke zeigt, dass TikTok auf lange Sicht nicht um eine Revision des Link-Systems ihres Videonetzwerks herumkommen wird. Das hatten europäische Sicherheitsexperten bereits nach Bekanntwerden der verschiedenen Sicherheitslücken im Januar 2020 gefordert.

Die entsprechenden Arbeiten daran sind dringlich. Das zeigt die jetzt aufgedeckte Sicherheitslücke sehr deutlich.

Gemerkt auf Mein ZDF! Merken beendet Bewertet! Bewertung entfernt Zur Merkliste hinzugefügt! Merken beendet Embed-Code kopieren HTML-Code zum Einbetten des Videos in der Zwischenablage gespeichert.
Bitte beachten Sie die Nutzungsbedingungen des ZDF.

Um zu verstehen, wie unsere Webseite genutzt wird und um dir ein interessenbezogenes Angebot präsentieren zu können, nutzen wir Cookies und andere Techniken. Hier kannst du mehr erfahren und hier widersprechen.

Um Sendungen mit einer Altersbeschränkung zu jeder Tageszeit anzuschauen, kannst du jetzt eine Altersprüfung durchführen. Dafür benötigst du dein Ausweisdokument.

Du wechselst in den Kinderbereich und bewegst dich mit deinem Kinderprofil weiter.