TikTok für Android: Microsoft meldet kritische Sicherheitslücke

Nach Angaben von Microsoft-Sicherheitsforschern gab es in der Android-App von TikTok eine gefährliche Schwachstelle, die Angreifern die Übernahme von Benutzerkonten hätte erlauben können.

Demnach hätte man mit einer manipulierten URL die Deeplink-Verifizierung der App umgehen und die WebView-Komponente der App dazu zwingen können, eine beliebige URL zu laden.

Dies wiederum hätte es Bedrohungsakteuren ermöglicht, unter Ausnutzung der angeschlossenen JavaScript-Schnittstelle Benutzerkonten mit nur einem Klick zu übernehmen. Die Schwachstelle, die als CVE-2022-28799 gekennzeichnet wurde, betrifft ältere Versionen der TikTok-App (23.7.3 und älter).

Trotz des enormen Schadenspotenzials der Sicherheitslücke liegen Microsoft keine Hinweise darauf vor, dass Kriminelle die Schwachstelle aktiv für Angriffe ausgenutzt haben.

Wie Microsoft in seiner Sicherheitsempfehlung erklärt, wurde die Schwachstelle, die eine Ausnutzung verschiedener Sicherheitsprobleme erfordert hätte, bereits behoben. Laut Microsoft hätten Angreifer die Schwachstelle ausnutzen können, um ein Benutzerkonto ohne Kenntnis des Nutzers zu übernehmen. Dazu hätte es lediglich einen einzigen Klick auf einen speziell gestalteten Link gebraucht. Im Anschluss hätten die Angreifer dann auf die TikTok-Profile und sensible Informationen des Nutzers zugreifen und diese verändern können, zum Beispiel durch Veröffentlichung privater Videos, Versand von Nachrichten und Hochladen von Videos im Namen des Nutzers.

Das Forschungsteam des Unternehmens wies zudem darauf hin, dass mehr als 70 offengelegte Verfahren durch Einschleusen von JavaScript-Code in durch WebView geladene Webseiten genutzt hätten werden können. Angreifer hätten die Verfahren für verschiedene Zwecke einsetzen können, z. B. für die Änderung privater Benutzerdaten und die Durchführung authentifizierter HTTP-Anfragen an beliebige URLs.

Hacker hätten die gemeldete Schwachstelle zur Umgehung der Deeplink-Verifizierung in Verbindung mit einem Verfahren zur HTTP-Anfrageauthentifizierung nutzen können, um TikTok-Benutzerkonten zu kompromittieren.

Die Experten kamen zu dem Schluss, dass die Schwachstelle beide TikTok-Versionen betraf, also sowohl die Version für Ost- und Südostasien (com.ss.android.ugc.trill) als auch die weltweite Version (com.zhilliaoap.musically). Im Google Play Store allein kommen die Apps zusammen auf 1,5 Milliarden Installationen.

TikTok wurde im Februar 2022 über die Schwachstelle informiert und veröffentlichte schnell einen Fix. Microsoft hat eine kurze Liste mit Empfehlungen herausgegeben, wie man sich vor diesem und ähnlichen Angriffen schützen kann:

• Keine Apps aus unbekannten Quellen installieren
• Geräte und installierte Apps immer auf dem neuesten Stand halten
• Keine Links aus nicht vertrauenswürdigen Quellen anklicken
• Verdächtige Aktivitäten in der App dem Anbieter melden

Spezialisierte Lösungen wie Bitdefender Mobile Security verfügen über zahlreiche Funktionen zur Abwehr aktueller und zukünftiger Sicherheitsbedrohungen:

• Malware-Scanner
• Ein Modul für den Internet-Schutz, das Webseiten prüft und Sie vor potenziell gefährlichen Inhalten warnt
• Erkennung von Angriffen mit gefährlichen Links
• Sicherheitsberater
• Modul für den Kontoschutz, das prüft, ob Ihre Benutzerkonten durch Datenlecks gefährdet sind
• Gerätescan zur automatischen Überprüfung neu installierter Apps