CheckPoint-Experten haben nicht allzu gefährliche Schwachstellen in der mobilen Anwendung TikTok gefunden, die sich jedoch so kombinieren lassen, dass die Gefahr besteht, die Kontrolle über das Konto des Opfers zu erlangen.
Es genügt die Kenntnis der Nummer
Experten der Firma CheckPoint fanden eine Reihe von Schwachstellen in der offiziellen mobilen Anwendung des chinesischen sozialen Netzwerks TikTok, die es Ihnen ermöglichen, die Kontrolle über Ihr Konto abzufangen. Dazu muss der Angreifer nur die Handynummer des potenziellen Opfers kennen.
TikTok ist ein chinesisches soziales Netzwerk, das es Ihnen ermöglicht, kurze Musikvideos, Live-Sendungen und Nachrichten zu erstellen. TikTok wurde 2018 gestartet und hat inzwischen die Führung in China übernommen und hat mit mehr als 1,3 Milliarden Installationen weltweit eine große Popularität in anderen Ländern erreicht.
TikTok-Konten werden in kostenlose und kostenpflichtige Konten unterteilt, wobei der Inhalt der kostenlosen Konten standardmäßig öffentlich zugänglich ist. Nur bezahlte Nutzer können den Zugang zu ihren Inhalten einschränken.
Die in der Anwendung selbst identifizierten Schwachstellen sind nicht kritisch oder sogar gefährlich. Eine Kombination dieser Schwachstellen wird kritisch: Mit SMS-Link-Spoofing, offener Umleitung und Cross-Site-Scripting können Angreifer eine Reihe von böswilligen Aktionen durchführen.
Neben der direkten Kontrolle über das Konto werden verschiedene Manipulationen an dessen Inhalt möglich – das Löschen von Videos, die von Benutzern hochgeladen wurden, das Hochladen von Videos ohne Wissen und Zustimmung des Benutzers, die Aufhebung von Benutzerbeschränkungen für Videos, die Veröffentlichung privater Informationen über das Konto usw.
Senden Sie eine SMS an die Nummer…
Die Experten von Checkpoint haben festgestellt, dass es möglich ist, von der TikTok-Website aus im Namen des sozialen Netzwerks SMS an eine beliebige Nummer zu senden; solche SMS enthalten in der Regel einen Link zum Herunterladen des Client-Programms.
Der Link kann jedoch leicht ersetzt werden und so den Benutzer zu einer Drittressource locken, über die es möglich ist, jeden beliebigen Code auf dem Ziel-Mobilgerät auszuführen – vorausgesetzt, die TikTok-Anwendung ist bereits auf dem Gerät installiert.
„Im Prinzip sollte die Tatsache, dass das Opfer – ein TikTok-Benutzer – eine Nachricht mit einem Angebot zum erneuten Download des Clients erhält, bereits Verdacht erregen“, sagt Anastasia Melnikova, Expertin für Informationssicherheit des Unternehmens SEC Consult Services. – „Aber nicht immer fragen sich die Nutzer, warum sie etwas noch einmal herunterladen müssen: Sie sagen, dass das Update nicht verfügbar ist. Solche unaufmerksamen Tricks von Übeltätern sind oft dafür gedacht“.
Das Hauptproblem bei der TikTok-Anwendung selbst ist aus Expertensicht der fehlende Schutz vor gefälschten Cross-Site Requests (XSS).
Ende Dezember 2019 verbot die U.S. Army die Nutzung von TikTok für ihre Mitarbeiter: Die US-Behörden vermuten, dass die Anwendung zum Diebstahl von Benutzerdaten verwendet werden könnte. Am 16. Dezember 2019 hat das US-Verteidigungsministerium eine Warnung über die Gefahr dieser Social-Networking-Site herausgegeben.
Seit dem 4. Januar 2020 ist es Mitarbeitern des US-Außenministeriums und des US-Heimatschutzministeriums offiziell verboten, TikTok zu benutzen.
