UPDATE – Als Reaktion auf unsere erste Geschichte sagte ein TikTok-Sprecher gegenüber TechRadar Pro: „Durch unsere Partnerschaft mit den Sicherheitsforschern von Imperva haben wir eine Schwachstelle in einigen älteren Versionen der Web-App entdeckt und schnell behoben. Wir danken den Imperva-Forschern für ihre Bemühungen, potenzielle Probleme zu identifizieren, damit wir sie schnell beheben können.“
Cybersicherheitsforscher von Imperva haben eine Schwachstelle in der beliebten Social-Media-App TikTok entdeckt, die es Bedrohungsakteuren ermöglicht haben könnte, sensible Daten von den Geräten der Opfer zu exfiltrieren, um sie für Identitätsdiebstahlangriffe, Phishing oder Erpressungen zu verwenden.
Die mittlerweile behobene Schwachstelle lag im Umgang der App mit eingehenden Nachrichten. Zur Erklärung der Methode sagten die Forscher, dass die Angreifer über die PostMessage-API eine bösartige Nachricht an die TikTok-Webanwendung senden könnten, die alle Sicherheitsmaßnahmen umgehen würde.
Der Nachrichtenereignishandler würde dann die Nachricht verarbeiten und sie als sicher einstufen, wodurch dem Angreifer Zugriff auf die wertvollen Informationen gewährt würde.
Details zum Benutzerkonto
Durch die Ausnutzung der Sicherheitslücke könnten die Angreifer Zugriff auf einen Schatz an wertvollen Daten erhalten, wie z. B. Gerätedaten des Benutzers (Gerätetyp, Betriebssystem, verwendeter Browser usw.), angesehene Videos (welche Videos das Opfer angesehen hat) und die verbrachte Zeit zu jedem Video, Benutzerkontodaten (Benutzernamen, Videos, andere Kontodetails), Suchanfragen (was der Benutzer auf der Plattform gesucht hat).
Auch ohne die Schwachstellen ist TikTok, gelinde gesagt, eine umstrittene App. Es wurde von einem chinesischen Unternehmen namens ByteDance entwickelt und hat mehr als 1,5 Milliarden Nutzer (mehr als 150 Millionen allein in den USA).
Vor kurzem hat die US-Regierung damit begonnen, chinesische Unternehmen zu prüfen und zu verbieten, mit der Begründung, ihre Regierung habe sie fest im Griff und könne sie jederzeit dazu zwingen, unbefugten Hintertürzugriff zuzulassen.
Aus genau diesem Grund wurde Huawei der Aufbau der 5G-Infrastruktur in den USA untersagt. Was TikTok betrifft, so zwang die US-Regierung das Unternehmen zunächst, alle Daten im Land zu speichern, und forderte dann kürzlich seine Mitarbeiter auf, die App von von der Regierung ausgegebenen Geräten zu entfernen, und verwies dabei auf Fragen der nationalen Sicherheit.
TikTok bestreitet, ähnlich wie viele andere chinesische Unternehmen, jegliche Beteiligung an Fehlverhalten.