Die Sicherheitslücken von TikTok in seinem SMS-System ermöglichen es Angreifern, persönliche Informationen zu stehlen
Sicherheitsforscher entdeckten verschiedene Sicherheitslücken des in Peking ansässigen TikTok, das ButeDance gehört und es potenziellen Hackern ermöglicht, Benutzerkonten zu entführen und die hochgeladenen Videos und persönlichen Informationen zu manipulieren.
TikTok ist eine berühmte Social-Media-Plattform, und die Beteiligung von Massenbenutzern an dieser Plattform hat bereits stattgefunden. Nach Schätzungen von Sensor Tower Store Intelligence werden im November mehr als 500.000.000 Installateure bei Google Play und über 1,5 Milliarden auf mobilen Plattformen registriert. Es wird verwendet, um mobile Videos mit kurzen Schleifen von 3 bis 60 Sekunden zu teilen.
Check Point-Forscher geben in einem Bericht an, dass die Tittok-Anwendungen und ihr Backend anfällig für Angriffe waren. Der ByteDance behebt die Sicherheitslücke innerhalb eines Monats, nachdem die Sicherheitslücken bereits im November bekannt wurden.
“Daten sind allgegenwärtig, aber Datenverletzungen werden zu einer Epidemie, und unsere jüngsten Untersuchungen zeigen, dass die beliebtesten Apps immer noch in Gefahr sind”, sagte Oded Vanunu, Leiter der Sicherheitsforschung für Produkte bei Check Point.
“Social Media-Anwendungen sind in hohem Maße auf Sicherheitslücken ausgerichtet, da sie eine gute Quelle für private Daten und ein gutes Angriffstor bieten.”
Verwundbares SMS-System auf TikTok
Laut CheckPoint ermöglicht das SMS-System des TikTok Angriffen die Manipulation von Kontodaten durch Hinzufügen und Löschen von Videos, das Ändern der Einstellungen zum Schutz der Videodaten sowie das Herausfiltern von Benutzernamen, E-Mail-Adressen, Geburtstagen und anderen personenbezogenen Daten der Benutzer. Laut den Check Point-Forschern nutzen die Angreifer die Sicherheitslücken im System aus, um nicht autorisierte Videos hochzuladen und die hochgeladenen Videos zu löschen, die Videos der Benutzer von privat nach öffentlich zu verschieben und persönliche Informationen zu stehlen.
Um diese böswilligen Aktionen auszuführen, könnten die Angreifer den Download-Link der App über Textnachrichten an die Telefonnummern der Benutzer senden, um einen Eindruck von TikTok zu erhalten. Außerdem können die Benutzer auf einen von den Angreifern kontrollierten Webserver umgeleitet werden.
“Die Umleitung eröffnet die Möglichkeit, ohne Zustimmung des Benutzers Cross-Site Request Forgery- (CSRF-), Cross-Site Scripting- (XSS-) und Sensitive Data Exposure-Angriffe durchzuführen.”
“TikTok setzt sich für den Schutz von Benutzerdaten ein. Wie viele andere Organisationen ermutigen wir verantwortungsbewusste Sicherheitsforscher, Zero-Day-Schwachstellen uns gegenüber offen zu legen”, sagte Luke Deshotels, das TikTok-Sicherheitsteam.
Vor der Veröffentlichung stimmte CheckPoint zu, dass diese Sicherheitsanfälligkeiten auf die neueste Version der App gepatcht wurden.
TikTok verbot die Smartphones von Soldiers in Regierungsangelegenheiten
Die Enthüllungen von Check Point Research erfolgen nach dem Verbot des TikTok durch US-Militärzweige wie Armee, Marine, Marinekorps und Luftwaffe.
“Es wird als Cyber-Bedrohung angesehen”, sagte Oberstleutnant Robin Ochoa.
“Seien Sie vorsichtig mit Anwendungen, die Sie herunterladen, überwachen Sie Ihre Telefone auf ungewöhnliche und unerwünschte Texte usw. und löschen Sie diese sofort. Deinstallieren Sie TikTok, um die Offenlegung persönlicher Informationen zu vermeiden.”, neue Richtlinien auch für alle Mitarbeiter der Verteidigungsabteilung.
Es folgte eine spätere Mitteilung der US-Senatoren Chuck Schumer und Tom Cotton im Oktober “an den amtierenden Direktor des Nationalen Nachrichtendienstes mit der Bitte um eine Bewertung der nationalen Sicherheitsrisiken, die von TikTok und anderen in China tätigen Content-Plattformen in den USA ausgehen”.
Schumer veröffentlichte auch eine Erklärung, dass die nationale Sicherheitsuntersuchung von TikTok die Besorgnis der Senatoren bestätigt, dass die Apps wie TikTok ein ernstes Risiko für Millionen von Amerikanern darstellen könnten und eine genauere Prüfung als Antwort verdienen, als Reuters berichtete, dass die US-Regierung eine Untersuchung eingeleitet habe TikTok-Inhaber ByteDance erwirbt die US-amerikanische Social-App musical.ly ab November 2017 für potenzielle nationale Sicherheitsrisiken.
Vanessa Pappas, die General Managerin von tiktok US, antwortete, dass alle tiktok Benutzerdaten in den USA mit Backup-Redundanz in Singapur speichern. “Unsere Rechenzentren befinden sich vollständig außerhalb Chinas, und keine unserer Daten unterliegt chinesischem Recht”, sagte sie Ende Oktober.
“Die Rechenzentren von TikTok befinden sich vollständig außerhalb Chinas.” Sie erklärte auch, dass das Unternehmen “ein engagiertes technisches Team habe, das sich auf die Einhaltung strenger Cybersicherheitsrichtlinien sowie Datenschutz- und Sicherheitspraktiken konzentriert”, wie die pappas einen Monat später bekräftigten.