Branche - geschrieben von cp am Dienstag, Januar 26, 2021 12:01 - noch keine Kommentare
TikTok: Erneut Schwachstelle entdeckt
Hacker konnten sämtliche Profil-Informationen und die Telefonnummer von Nutzern stehlen
[datensicherheit.de, 26.01.2021] Die Sicherheitsforscher von Check Point® Software Technologies Ltd. warnen vor einer neuen Schwachstelle in der App von TikTok. Hackern war es möglich über eine Sicherheitslücke in der Funktion Find Friends die Schutzfunktionen zu umgehen und auf die Profile von Nutzern zuzugreifen. Auf diese Weise konnten alle personenbezogenen Informationen, wie die einmalige Nutzer-ID, gestohlen werden – einschließlich der Telefonnummer – um eine Datenbank aufzubauen, die für Malware-Attacken genutzt werden kann. Bereits im Januar 2020 fanden die Experten von Check Point mehrere kritische Schwachstellen in der Applikation.
Check Point meldete die Lücke umgehend an TikTok und sie wurde bereits durch einen Fix geschlossen, der daher umgehend installiert werden sollte. Bis dahin aber war die Schwachstelle ausnutzbar und es ist wahrscheinlich, dass einige Nutzer bereits unbemerkt das Opfer von Hackern wurden.
Ablauf der Attacke:
- Eine Liste von Geräten wird erstellt (mit Geräte-ID), die Anfragen an die TikTok-Server schicken.
- Eine Liste von Session Tokens (jeder gültig für 60 Tage) wird erstellt, die für die Anfragen an die TikTok-Server genutzt werden.
- Der Signatur-Mechanismus von TikToks http-Schutz wird umgangen durch Nutzung deren eigenen Dienstes. Dieser wird im Hintergurnd ausgeführt.
- Zusammenführung aller Schritte durch Modifizierung von http-Anfragen, erneuter Signierung dieser und Nutzung der Session Tokens sowie Geräte-IDs, um die Anfragen an TikToks Schutzmaßnahmen vorbeizuschmuggeln.

Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point Software Technologies, Foto: Check Point
Oded Vanunu, Head of Products Vulnerabilities Research bei Check Point Software Technologies erklärt: „Dieses Mal war unser Ziel, den Schutz der Privatsphäre in TikTok zu erforschen. Wir waren neugierig, ob die TikTok-Plattform missbraucht werden kann, um an Nutzerdaten zu gelangen und tatsächlich: Wir waren in der Lage, mehrere Schutzmechanismen von TikTok zu umgehen. Die gefundene Schwachstelle ermöglichte es einem Angreifer, sensible Informationen zu stehlen, um eine Datenbank mit Benutzerdaten und den zugehörigen Telefonnummern aufzubauen. Ein Hacker, der über so viele empfindliche Informationen über eine Person verfügt, kann sehr gezielt und einfach eine Reihe von Angriffen ausführen, wie Spear-Phishing oder Social Engineering. Wir empfehlen daher allen Nutzern der TikTok-App: Geben Sie nicht mehr über sich preis, als nötig ist und aktualisieren Sie umgehend die Anwendung.“
TikTok selbst begrüßt die Zusammenarbeit mit Check Point: „Die Sicherheit und der Datenschutz der TikTok-Community haben für uns höchste Priorität. Wir schätzen daher die Arbeit von vertrauenswürdigen Partnern, wie Check Point, die uns helfen, potentielle Probleme zu identifizieren und zu beheben, bevor diese die Nutzer beeinträchtigen. Wir stärken außerdem weiterhin unsere Verteidigungsmaßnahmen: Sowohl durch die ständige Verbesserung interner Fähigkeiten, dazu gehört die Investition in Automatisierung, als auch durch die Zusammenarbeit mit Drittanbietern.“
Weitere Informationen zum Thema:
Check Point Software
TikTok fixes privacy issue discovered by Check Point Research
datensicherheit.de, 21.01.2021
Über Google auffindbar: Tausende gestohlene Passwörter
datensicherheit.de, 08.01.2020
TikTok-App: Check Point Research enthüllt Schwachstellen
Aktuelles, Experten, Studien - Mai 1, 2025 0:27 - noch keine Kommentare
Chip-Industrie: Silicon Saxony positioniert sich zum Sonderbericht des Europäischen Rechnungshofes
weitere Beiträge in Experten
- DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
- eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung
- Bitkom-Glückwünsche an neuen Digitalminister
- E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen
- Website-Tracking durch Drittdienste: In 185 von 1.000 Fällen Nachbesserung erforderlich
Aktuelles, Experten, Personalien - Mai 1, 2025 0:16 - noch keine Kommentare
DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
weitere Beiträge in Branche
- Cyberrisiken im Wassersektor: Modernisierung und Segmentierung bieten Schutz
- 65 Prozent der deutschen Unternehmen erleben Cybersecurity-Vorfälle aufgrund nicht verwalteter Assets
- KI kann Kriminalität revolutionieren: Passfälschung in Minuten
- KI verändert Datenschutz in Europa: Spannungsfeld zwischen Fortschritt und Risiko
- Kritische Geschäftsabläufe: KI-gesteuerte Cyber-Angriffe nehmen zu
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren