Android TikTok-App: Microsoft findet 1-Klick-Schwachstelle, die Kontenübernahme erlaubte

[English]Microsoft hat eine gefährliche Sicherheitslücke in der TikTok-App für Android entdeckt, die es ermöglichte, Benutzerkonten mit einem einzigen Klick zu kompromittieren. Inzwischen wurde diese Schwachstelle in der TikTok-App für Android geschlossen.


Anzeige

TikTok ist ein vom chinesischen Anbieter Bytedance betriebener Dienst, der kurze Videoclips und Videos für die Lippensynchronisation von Musikvideos bereitstellt. Zudem gibt es zusätzlich Funktionen eines sozialen Netzwerks. Die Plattform ist vor allem bei jungen Leuten sehr beliebt, und es sind Apps für Android und iOS verfügbar.

Das Unternehmen ist aufgrund von Bedenken hinsichtlich Daten- und Jugendschutz sowie Spionage und Zensur zugunsten der chinesischen Regierung umstritten. Die US-Regierung unter dem früheren Präsidenten Donald Trump versuchte die chinesische TikTok-App samt Dienst in den USA  zu verbannen, sofern das US-Geschäft nicht an einen US-Technologiekonzern verkauft würde. Ich hatte im Blog-Beitrag US-Geschäft von TikTok wohl an unbekannten Bieter verkauft über das Verkaufsthema berichtet. Es gab die Ankündigung des US-Handelsministeriums (Commerce Department), die auf Anordnung des US-Präsidenten den Download der TikTok-App in den US-App-Stores für US-Bürger verbot. Das Ganze wurde dann durch US-Richter wieder gestoppt.

Gravierende Schwachstelle in TikTok-App

TikTok gibt es als Android-App in zwei Varianten: eine für Ost- und Südostasien unter dem Paketnamen com.ss.android.ugc.trill und eine andere für die übrigen Länder unter dem Paketnamen com.zhiliaoapp.musically. Im Rahmen einer Schwachstellenanalyse von TikTok haben Microsofts Sicherheitsforscher dann festgestellt, dass beide Varianten der App für Android, die zusammen über 1,5 Milliarden Installationen im Google Play Store aufweisen, von einer Schwachstelle betroffen sind.

Die als hoch bewertete Schwachstelle (CVE-2022-28799) befindet sich im Webkit und hing von der Implementierung der JavaScript-Schnittstellen dieser Komponente in der App ab. WebView ermöglicht Anwendungen das Laden und Anzeigen von Webseiten und kann mit dem API-Aufruf addJavascriptInterface auch eine Brückenfunktionalität bereitstellen. Diese Funktion ermöglicht es JavaScript-Code in einer Webseite bestimmte Java-Methoden einer bestimmten Klasse in der App aufzurufen.

Das Laden von nicht vertrauenswürdigen Webinhalten in WebView mit Objekten auf Anwendungsebene, auf die über JavaScript-Code zugegriffen werden kann, macht die Anwendung anfällig für JavaScript-Schnittstelleninjektion, was zu Datenlecks, Datenbeschädigung oder in einigen Fällen zur Ausführung von beliebigem Code führen kann.

Genau dies kam in der verwundbaren Version der TikTok-App zum Tragen. Klickte bzw. tippte ein Benutzer auf einen schädlichen Link, konnte er auf eine von den Angreifern kontrollierte Webseite umgeleitet werden – eine Prüfung des Linkziels fand nicht statt. Auf der Webseite der Angreifer hätten diese über eine JavaScript-Interfaces-Injection dann auf Authentifizierungs-Tokens des jeweiligen Benutzers zugreifen und dann dessen TikTok-Konto übernehmen können.

Mit diesem Schritt wäre es Angreifern möglich gewesen, auf die TikTok-Profile und sensible Informationen der Nutzer zugreifen und diese zu ändern. Sie hätte beispielsweise private Videos veröffentlichten, Nachrichten verschickten und Videos im Namen der Nutzer hochladen können. Nach sorgfältiger Prüfung der Auswirkungen informierte ein Microsoft-Sicherheitsforscher TikTok im Februar 2022 über die Probleme.

TikTok hat schnell reagiert und einen Fix für die Schwachstelle CVE-2022-28799 veröffentlicht. TikTok-Nutzern wird empfohlen, sicherzustellen, dass sie die neueste Version der App verwenden. Microsoft hat seine Erkenntnisse zum 31. August 2022 im Security Blog im Beitrag Vulnerability in TikTok Android app could lead to one-click account hijacking veröffentlicht.


Anzeige

Ähnliche Artikel:
Die dunklen Seiten von TikTok
TikTok: Android-App hat MAC-Adressen zum Tracken gesammelt
ByteDance will Tiktok in den USA verkaufen
Posse des TikTok-Verbots und die Folgen
ByteDance: Kein Verkauf des TikTok-Algorithmus – erhält Oracle den Zuschlag auf den Rest?
US-Geschäft von TikTok wohl an unbekannten Bieter verkauft
Microsoft bestätigt Pläne zum TikTok-Kauf
US-Richter stoppt Verbannung der TikTok-App
Richter blockiert vorübergehend US-Verbot von TikTok-Downloads aus US-App-Stores
Audiodateien von TikTok-Meeting zeigen, dass US-Nutzerdaten aus China abgerufen wurden


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Android TikTok-App: Microsoft findet 1-Klick-Schwachstelle, die Kontenübernahme erlaubte

  1. Harbo sagt:

    Unsinn wie dieser kann nur existieren, weil jede App mittlerweile integrierte eigene "Browser" mitliefert, um die User ja nicht an externe Apps weiterleiten zu müssen, wenn diese auf Links klicken. Die mögliche Überwachung des Surfverhaltens, ja selbst die Passworteingabe über diese APIs durch den Betreiber de ersten App sind die Folge.
    Dass es sich bei Tiktok um eine chinesische App handelt, die Daten also vollumfänglich beim chinesischen Unterdrückungsregime landen, macht es nicht besser.

    Die im Artikel erwähnte Spitze gegen Trump macht bei unwissenden Lesern Eindruck, wer aber weiß, dass China fast alle relevanten Internetdienste westlicher Unternehmen seit Jahrzehnten verboten hat (zum Beispiel alle Google-Anwendungen, aber auch unkommerzielle Dienste wie Wikipedia), diese Unternehmen in China also keinen Umsatz generieren können, sieht das etwas entspannter und wundert sich, dass die Amis nicht Gleiches mit Gleichem vergelten und Tiktok nicht ebenfalls komplett verbieten.

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.