Die Social-Video-App TikTok wurde aufgrund ihrer Verbindungen zu China als potenzielle Sicherheitsbedrohung eingestuft - die App gehört der in Peking ansässigen Firma ByteDance -, kann aber wie jede Software auch unmittelbarere Sicherheitsbedenken aufwerfen. Kürzlich gepatchte Sicherheitslücken in der App könnten es einem Angreifer ermöglicht haben, TikTok-Konten zu übernehmen, Videos hinzuzufügen oder zu löschen und private Daten wie Benutzerinformationen oder Videos, die als "versteckt" markiert sind, offenzulegen.
Forscher der Sicherheitsfirma Check Point haben die Bugs Ende November erstmals an TikTok gemeldet, und das Unternehmen hat sie bis Ende Dezember alle auf iOS und Android gepatcht. Die Ergebnisse kommen jedoch, da der Kongress in den letzten Monaten Anhörungen abgehalten und Untersuchungen in Bezug auf die Möglichkeit gefordert hat, dass die App ein nationales Sicherheitsrisiko darstellt. Die US-Armee und die US-Marine haben die App Ende 2019 von ihren Geräten verbannt und sie als Cyber-Bedrohung bezeichnet. Alle Software hat Fehler und einige Schwachstellen zeigen nicht, dass TikTok bösartig ist. Die Ergebnisse zeigen jedoch, dass die Social-Media-App im Moment noch genauer unter die Lupe genommen werden muss.
"Das Ziel unserer Forschung war es, das Sicherheits- und Datenschutzniveau, das TikTok bietet, zu verstehen", sagt Oded Vanunu, Leiter der Produktverwundbarkeitsforschung bei Check Point. "Nachdem wir die Überprüfung abgeschlossen hatten und verstanden hatten, dass wir die Konten leicht manipulieren können, sagten wir: 'Lassen Sie uns hier anhalten und die Informationen teilen.' Wir hoffen, dass jetzt mehr Forscher die App überprüfen und TikTok ihren Sicherheitsüberprüfungszyklus verlängern wird."
Die Forscher stellten fest, dass TikTok auf seiner Website eine Funktion bietet, mit der Benutzer ihre Telefonnummern eingeben und eine SMS-Nachricht mit einem Link zum Herunterladen der App erhalten können. Bei der Analyse dieses Mechanismus stellten sie fest, dass sie die Wörter im Text sowie den Download-Link aus der Ferne manipulieren und an eine beliebige Telefonnummer senden konnten. Von dort aus entdeckten sie, dass sie spezielle Links für diese Texte erstellen konnten, die Befehle an TikTok senden würden, wenn ein Opfer die App bereits heruntergeladen hätte.
In der Praxis könnte ein Angreifer eine SMS-Nachricht überarbeitet haben, um vorhandene TikTok-Benutzer anzusprechen, und nicht nur Erstanwender - und die Texte würden zu Recht aus der Infrastruktur von TikTok stammen. Wenn ein TikTok-Benutzer auf einen dieser schädlichen Links geklickt hat, könnte ein Angreifer Bugs in den Browser-Umleitungs- und Authentifizierungsmechanismen von TikTok manipuliert haben, um sein Konto zu manipulieren. Dabei wurden Befehle zum Hinzufügen oder Löschen von Videos gesendet und das Konto des Opfers gezwungen, anderen Konten zu folgen und private Videos zu erstellen oder die persönlichen Kontodaten des Opfers, wie Name und E-Mail-Adresse, herausfiltern.
Laut Vanunu hat TikTok innerhalb weniger Wochen auf die Enthüllungen reagiert und die Probleme behoben. "TikTok setzt sich für den Schutz von Benutzerdaten ein. Wie viele andere Organisationen ermutigen wir verantwortungsbewusste Sicherheitsforscher, Zero-Day-Schwachstellen uns gegenüber offen zu legen", sagte Luke Deshotels, Mitglied des TikTok-Sicherheitsteams, in einer Erklärung. "Wir hoffen, dass diese erfolgreiche Lösung die zukünftige Zusammenarbeit mit Sicherheitsforschern fördern wird." TikTok teilte WIRED mit, dass die Kundenunterstützungsunterlagen überprüft und keine "Muster gefunden wurden, die auf einen Angriff oder eine Verletzung hinweisen".
Obwohl TikTok immer beliebter geworden ist und immer genauer unter die Lupe genommen wird, wurden in der App nicht viele Fehler in der Öffentlichkeit bekannt gegeben. Anfang September veröffentlichte der Sicherheitsforscher Melroy Bouwes die Erkenntnisse, dass sowohl die iOS- als auch die Android-Version von TikTok bestimmte Anfragen über unverschlüsselte Webverbindungen stellen, wodurch diese Aktivität und einige Daten, z. B. welche Videos von Nutzern angesehen werden, möglicherweise offengelegt werden. Bouwes kontaktierte TikTok zum ersten Mal im Juli bezüglich der Ergebnisse und sagte, er habe versucht, das Unternehmen innerhalb von zwei Monaten noch dreimal zu erreichen. "Ich habe nie eine Antwort erhalten", sagte er zu WIRED. "Ich habe kein verantwortliches Offenlegungsverfahren gefunden."
