Laut Check Point Research, der Threat Intelligence Abteilung von Check Point Software Technologies, wurden mehrere Schwachstellen in der beliebten App TikTok gefunden – und TikTok gemeldet. Ohne diese Informationen und einen entsprechenden Fix hätten die Schwachstellen es Angreifern ermöglicht, Inhalte auf Benutzerkonten zu manipulieren und sogar vertrauliche, persönliche Informationen, die auf diesen Konten gespeichert sind, zu extrahieren. Darunter laut Meldung E-Mail-Adressen und Kontaktdaten.
Von Check Point Research enthüllt
Die Untersuchung von Check Point Research ergab, dass ein Angreifer eine gefälschte SMS-Nachricht mit einem bösartigen Link an einen Benutzer senden kann. Wenn dieser auf den bösartigen Link klickte, konnte der Angreifer an das TikTok-Konto gelangen und dessen Inhalt manipulieren, wobei er Videos löschte, unautorisierte Videos hoch lud und private oder ‚versteckte‘ Videos öffentlich machte.
Weiter ergab die Untersuchung auch, dass die TikTok-Subdomain ads.tiktok.com anfällig für XSS-Angriffe war. Dies ist ein Angriff, bei dem bösartige Skripte in ansonsten gutartige und vertrauenswürdige Websites eingeschleust werden. Die Sicherheitsforscher von Check Point nutzten diese Schwachstelle aus, um persönliche Informationen abzurufen, die auf Benutzerkonten gespeichert sind, einschliesslich privater E-Mail-Adressen und Geburtstage.
Check Point Research informierte die TikTok-Entwickler über die Schwachstellen, die in dieser Untersuchung aufgedeckt wurden. Inzwischen wurde ein Fix veröffentlicht, um sicherzustellen, dass die Benutzer die TikTok-App weiterhin ungefährdet nutzen können.