TikTok: Schwachstelle ermöglichte Übernahme von fremden Konten

Eine Lücke in der Android-App der Social-Media-Plattform TikTok kann dazu führen, dass Konten mit nur einem Klick übernommen werden. Die Schwachstelle wurde von Microsoft entdeckt und inzwischen beseitigt. Hinweise auf eine aktive Ausnutzung gibt es allerdings nicht. Mit der Sicherheitslücke war es möglich, die Deeplink-Verifizierung der App auszuhebeln. Sobald ein Nutzer auf einen schädlichen Link klickt, konnte er auf eine vom Angreifer kontrollierte Seite geleitet werden. Über die JavaScript-Funktionen in der WebView konnte die Seite dann auf sensible Details wie den Authentifizierungs-Token zugreifen. Hiermit lässt sich das TikTok-Profil des Nutzers kontrollieren. Der Fehler wurde vom Microsoft 365 Defender Research Team gefunden, an TikTok gemeldet und Ende August öffentlich geteilt. Infografik Cyberkriminalität: E-Mails bleiben größtes Sicherheitsrisiko

Sicherheitslücke wurde schon geschlossen

TikTok hat auf die Schwachstelle reagiert und bereits einen Patch zur Verfügung gestellt. In der neuesten Version der Android-App kann die Lücke also nicht mehr ausgenutzt werden. Daher sollten TikTok-Nutzer mit einem Android-Gerät den Dienst auf den neuesten Stand bringen. Dem Microsoft-Team zufolge gibt es keine Hinweise darauf, dass die als CVE-2022-28799 identifizierte Schwachstelle zuvor von Hackern verwendet wurde. Das schließt natürlich nicht aus, dass manche Nutzerkonten doch auf diese Weise kompromittiert wurden.

Bei der nun behobenen Sicherheitslücke handelt es sich natürlich nicht um die einzige Schwachstelle, die in der Social-Media-App des chinesischen Konzerns ByteDance gefunden wurde. Im November 2020 wurden Fehler beseitigt, die Angreifern die Option gegeben hatten, über Drittanbieter-Anwendungen erstellte Konten zu übernehmen. Außerdem mussten sich die Entwickler in der Vergangenheit mit weiteren Lücken auseinandersetzen, die das Stehlen persönlicher Informationen und das Manipulieren von Videos ermöglicht hatten.

Siehe auch: