Benutzerkonten auf TikTok ließen sich nur durch einen einfachen Klick auf einen Link übernehmen. Microsoft-Forscher klären auf.
Durch einen einfachen Klick auf einen bösartigen Link war es Angreifern möglich, fremde Benutzerkonten über die Android-App von TikTok zu übernehmen. Ein Update steht bereits zur Verfügung und sollte dringend installiert werden.
Gehackt durch nur einen Klick – Microsoft klärt auf
Das Microsoft 365 Defender Research Team berichtet über eine kritische Sicherheitslücke in der Android-App von TikTok, die die Übernahme fremder Benutzerkonten mit nur einem Klick ermöglichte. Dafür war lediglich das Öffnen eines speziellen Links durch das Opfer des Angriffs erforderlich.
„Angreifer hätten die Schwachstelle ausnutzen können, um ein Konto zu kapern, ohne dass die Nutzer davon wussten, wenn sie einfach auf einen speziell gestalteten Link geklickt hätten. Angreifer hätten dann auf die TikTok-Profile und sensible Informationen der Nutzer zugreifen und diese verändern können, indem sie beispielsweise private Videos veröffentlichen, Nachrichten versenden und Videos im Namen der Nutzer hochladen.“
Dimitrios Valsamaras vom Microsoft 365 Defender Research Team
Zugriff auf 70 JavaScript-Methoden der TikTok-App
Durch den Klick auf den Link konnten sich Hacker potenziell Zugang zu mehr als 70 JavaScript-Methoden verschaffen. Diese ließen sich durch einen Exploit missbrauchen, um die WebView der TikTok-App zu kapern. Dabei handelt es sich um eine Systemkomponente, die für die Darstellung von Webinhalten innerhalb einer App zuständig ist. Infolgedessen konnten die Angreifer auf private Daten des Opfers zugreifen, diese verändern oder sogar authentifizierte HTTP-Anfragen verschicken.
Indem die Betrüger eine Anfrage an einen eigenen Server sendeten, hätten sie Cookie und Anfrage-Header auslesen und die Authentifizierungs-Token der Benutzer übernehmen können. Das hätte es ihnen ermöglicht, die TikTok-Kontodaten ihrer Opfer einschließlich privater Videos und Profileinstellungen abzurufen oder zu verändern.
Ein Update der TikTok-App schafft Abhilfe
Die vom Microsoft 365 Defender Research Team beschriebene Sicherheitslücke CVE-2022-28799 ist ab Version 23.7.3 der TikTok-App geschlossen. Bisher gibt es keinerlei Hinweise darauf, dass Angreifer die Schwachstelle bereits aktiv ausgenutzt haben.
Um die Ausnutzung derartiger Lücken zu verhindern, sind TikTok-Benutzer dazu angehalten, niemals auf Links aus nicht vertrauenswürdigen Quellen zu klicken. Außerdem sollten Apps stets aktualisiert und ausschließlich aus vertrauenswürdigen Quellen bezogen werden. Da jedoch Kinder die primäre Zielgruppe dieser Plattform sind und diese oftmals noch kein ausgeprägtes Sicherheitsverständnis haben, sind auch Eltern dazu angehalten, ihre Kinder nicht mit TikTok alleine zu lassen.
Aktuell kommt die TikTok-App laut dem Google Play Store auf über eine Milliarde Downloads. Laut Sensor Tower hat die Anwendung auf allen Plattformen sogar schon im Jahr 2020 die Marke von zwei Milliarden Installationen geknackt.
