Die besonders bei Jugendlichen beliebte App Tiktok zum Veröffentlichen und Teilen kurzer Videos weist nach einer Mitteilung der Security-Spezialisten von Check Point eine Reihe gravierender Schwachstellen auf, die persönliche Daten wie Privat- und E-Mail-Adressen der Nutzer gefährden. Inzwischen wurde ein Fix veröffentlicht, der die aufgedeckten Sicherheitslücken schließen soll.

Angreifer waren in der Lage, Inhalte auf Benutzerkonten zu manipulieren und sogar vertrauliche und persönliche Informationen, die auf diesen Konten gespeichert sind, zu extrahieren. Die Untersuchung ergab, dass ein Angreifer durch eine gefälschte SMS-Nachricht mit einem bösartigen Link an einen Benutzer, auf dessen Tiktok-Konto uneingeschränkt zugreifen kann, sollte der Link angeklickt werden. Das geht von der Löschung einzelner Videos, zum Hochladen unautorisierter Inhalte bis zur Veröffentlichung privater oder versteckter Clips.

Die Untersuchung ergab auch, dass die Tiktok-Subdomain https://ads.tiktok.com anfällig für XSS-Angriffe war. Dies ist ein Angriff, bei dem bösartige Skripte in ansonsten gutartige und vertrauenswürdige Websites eingeschleust werden. Die Sicherheitsforscher von Check Point nutzten diese Schwachstelle aus, um persönliche Informationen abzurufen, die auf Benutzerkonten gespeichert sind.

Check Point Research informierte die Tiktok-Entwickler umgehend über die aufgedeckten Schwachstellen, der nun erhältliche Fix soll diese Probleme beseitigen. Dazu ist es allerdings nötig, die App zu aktualisieren.

Tiktok ist in mehr als 150 Ländern in 75 Sprachen erhältlich und hat derzeit rund 800 Millionen Nutzer. Im Oktober 2019 war Tiktok die am meisten heruntergeladene App in den Vereinigten Staaten und damit die erste chinesische App, die einen solchen Rekord in den USA erreicht hat. Die Beliebtheit der App ist auch in Europa stark im Steigen.



Der Online-Stellenmarkt für ICT Professionals