Eine TikTok-Schwachstelle mit „hohem Schweregrad“ ermöglichte die Kontoübernahme mit einem Klick

Eine Schwachstelle in der TikTok-App für Android hätte es Angreifern ermöglichen können, jedes Konto zu übernehmen, das auf einen bösartigen Link geklickt hat, was potenziell Hunderte Millionen Benutzer der Plattform betreffen könnte.

Details des One-Click-Exploits wurden heute in a Blogeintrag von Forschern des 365 Defender Research Teams von Microsoft. Die Schwachstelle wurde TikTok von Microsoft offengelegt und inzwischen gepatcht.

Der Fehler und der daraus resultierende Angriff, der als „Schwachstelle mit hohem Schweregrad“ bezeichnet wird, hätte verwendet werden können, um das Konto eines beliebigen TikTok-Benutzers auf Android ohne sein Wissen zu hijacken, sobald er auf einen speziell gestalteten Link geklickt hat. Nachdem auf den Link geklickt wurde, hätte der Angreifer Zugriff auf alle Hauptfunktionen des Kontos, einschließlich der Möglichkeit, Videos hochzuladen und zu posten, Nachrichten an andere Benutzer zu senden und private Videos anzuzeigen, die im Konto gespeichert sind.

Die potenziellen Auswirkungen waren enorm, da sie alle globalen Varianten der Android-App TikTok betrafen, die insgesamt mehr als 1,5 Milliarden Downloads im Google Play Store verzeichnet. Es gibt jedoch keine Beweise dafür, dass es in großem Umfang ausgenutzt wurde. Forscher, die an der Entdeckung und Offenlegung beteiligt waren, lobten TikTok für eine schnelle Reaktion.

„Wir haben ihnen Informationen über die Schwachstelle gegeben und zusammengearbeitet, um dieses Problem zu beheben“, sagte Tanmay Ganacharya, Partner Director for Security Research bei Microsoft Defender for Endpoint Der Rand. „TikTok hat schnell reagiert und wir loben die effiziente und professionelle Lösung des Sicherheitsteams.“

Laut den im Blog-Beitrag veröffentlichten Details betrifft die Schwachstelle die tiefer Link Funktionalität der Android-App. Diese Verarbeitung von Deep-Links weist das Betriebssystem an, bestimmte Apps Links auf eine bestimmte Weise verarbeiten zu lassen, z. B. das Öffnen der Twitter-App, um einem Benutzer zu folgen, nachdem auf eine in eine Webseite eingebettete HTML-Schaltfläche „Diesem Konto folgen“ geklickt wurde.

Diese Linkbehandlung umfasst auch einen Überprüfungsprozess, der die Aktionen einschränken sollte, die ausgeführt werden, wenn eine Anwendung einen bestimmten Link lädt. Aber die Forscher fanden einen Weg, diesen Verifizierungsprozess zu umgehen und eine Reihe potenziell waffenfähiger Funktionen innerhalb der App auszuführen.

Mit einer dieser Funktionen können sie ein Authentifizierungstoken abrufen, das an ein bestimmtes Benutzerkonto gebunden ist, wodurch der Kontozugriff effektiv gewährt wird, ohne dass ein Passwort eingegeben werden muss. In einem Proof-of-Concept-Angriff erstellten die Forscher einen bösartigen Link, der beim Anklicken die Bio eines TikTok-Kontos in „SICHERHEITSVERLETZUNG“ änderte.

Ein Screenshot eines kompromittierten Kontos.
Microsoft

Glücklicherweise wurde die Schwachstelle erkannt, und Microsoft hat die Gelegenheit genutzt, um die Bedeutung der Zusammenarbeit und Koordination zwischen Technologieplattformen und Anbietern hervorzuheben.

„Da plattformübergreifende Bedrohungen immer zahlreicher und ausgeklügelter werden, sind die Offenlegung von Schwachstellen, koordinierte Reaktionen und andere Formen des Austauschs von Bedrohungsinformationen erforderlich, um das Computererlebnis der Benutzer zu schützen, unabhängig von der verwendeten Plattform oder dem verwendeten Gerät“, schrieb Dimitrios Valsamaras von Microsoft im Blogbeitrag. „Wir werden weiterhin mit der größeren Sicherheitsgemeinschaft zusammenarbeiten, um Forschungsergebnisse und Informationen über Bedrohungen auszutauschen, um einen besseren Schutz für alle zu schaffen.“

Obwohl bekannt ist, dass die TikTok-App bisher keine größeren Hacks erlitten hat, haben einige Kritiker sie aus anderen Gründen als Sicherheitsrisiko gebrandmarkt.

Kürzlich wurden Bedenken darüber geäußert, inwieweit in China ansässige Ingenieure von ByteDance, der Muttergesellschaft von TikTok, auf die Daten von US-Benutzern zugreifen können. Im Juli forderten die Führer des Geheimdienstausschusses des Senats die FTC-Vorsitzende Lina Khan auf, TikTok zu untersuchen, nachdem Berichte die Behauptung in Frage gestellt hatten, dass die Daten der US-Benutzer von der chinesischen Niederlassung des Unternehmens abgeschottet wurden.

TikTok hatte auf Fragen von nicht geantwortet Der Rand zum Zeitpunkt der Veröffentlichung.

Quellenlink