Video-AppSicherheitslücke bei TikTok erlaubte Übernahme von Accounts

Einem Freiburger gelang es im März, fremde Profile in der Video-App TikTok komplett zu übernehmen. Dafür musste er gar nicht einmal besonders versiert vorgehen, sondern nur Informationen auslesen, die TikTok selbst herausgab.

- - in Technologie - eine Ergänzung
Frau filmt Frau im Hochformat, Konfetti ist in der Luft
Lustig, Konfetti, gute Laune. In Sachen IT-Sicherheit sieht es bei TikTok nicht so gut aus. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com Amanda Vick

TikTok kommt nicht aus den negativen Schlagzeilen heraus: Als sei es nicht genug, dass die Video-App für das beständige Auslesen des Zwischenspeichers in die Kritik geraten ist, sie in Indien aus den App-Stores geflogen ist und ein großer Anonymous-Account zur Löschung der „chinesischen Spyware“ aufrief und EU-Datenschützer sich näher mit der App beschäftigen wollen.

Von Januar bis März dieses Jahres gab es eine gravierende Sicherheitslücke bei TikTok. Die hat der Freiburger Frederik Greve entdeckt und veröffentlicht. Anfang des Jahres hatte das Unternehmen eine neue Funktion getestet, die es Nutzer:innen erlaubte, einen Link zu einer Website in ihrem Profil einzubinden. Mit dieser Funktion konnte Greve im März die Kontrolle über fremde TikTok-Profile übernehmen.

Sitzungsinformationen an Webseiten rausgeschickt

Greve erklärt den Hack in einem Blogpost auf Facebook. TikTok öffnet, ähnlich wie Facebook, Links nicht in einer externen Browser-App wie Safari oder Chrome, sondern in einem integrierten Browser in der App selbst. Dadurch können Webseiten-Betreiber diese Aufrufe aus der TikTok-App anhand des so genannten User-Agents identifizieren. Dieser User-Agent wird bei jeder Anfrage an den Webserver übermittelt. Diese Informationen befinden sich im Header, dem Kopfbereich einer Web-Anfrage an einen Server. In so einem Header können aber auch weitere Informationen übergeben werden, wie zum Beispiel Formulardaten oder Cookies.

Greve schreibt:

Bei der Analyse des vom TikTok In-App-Browser übermittelten Headers fiel mir auf, dass neben des User-Agents weitere Informationen geschickt wurden. Bei diesen Daten handelte es sich unter anderem um die Sitzunginformationen des angemeldeten TikTok-Nutzers.

So wurde bei jedem Login in der App oder auf einer Website für den angemeldeten Nutzer ein Schlüssel generiert, der in Form eines Cookies im Browser gespeichert wird. Mit diesem Schlüssel identifiziert sich der Nutzer beim Server. Wer über diesen Schlüssel verfügt, hatte vollen Zugriff auf den Account.

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Zur Datenschutzerklärung von netzpolitik.org

„Sicherheitslücke in TikTok“ direkt öffnen

Mit Hilfe dieser Erkenntnisse testete Greve mit Fake-Profilen die Sicherheitslücke und machte API-Schnittstellen ausfindig. Danach konnte er die Kontrolle über fremde Profile übernehmen, darauf Videos veröffentlichen oder löschen.

TikTok nicht nur wegen Sicherheit in Kritik

Greve meldete sich mit seinen Erkenntnissen bei TikTok. Dort erbat man sich laut Greve 90 Tage Zeit bis zur Veröffentlichung der Lücke. TikTok bestätigte gegenüber netzpolitik.org, dass diese Lücke existiert habe, und dankte Greve für den Hinweis. Die Lücke sei geschlossen worden. Es gebe keinen Hinweis darauf, dass die Lücke ausgenutzt worden sei.

TikTok ist in den letzten Monaten zu einer der größten Social-Media-Plattformen der Welt aufgestiegen. Vor allem in der jungen Zielgruppe ist die App beliebt. TikTok war in der Vergangenheit auch durch Recherchen von netzpolitik.org weltweit für die Moderationspolitik, den Umgang mit behinderten Menschen und das ausgeklügelte System der Informationskontrolle in die Kritik geraten.

Deine Spende für Grundrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für Grund- und Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Markus Reuter recherchiert und schreibt zu Digitalpolitik, Desinformation, Zensur und Moderation sowie Überwachungstechnologien. Darüber hinaus beschäftigt er sich mit der Polizei, Grund- und Bürgerrechten sowie Protesten und sozialen Bewegungen. Für eine Recherchereihe zur Polizei auf Twitter erhielt er 2018 den Preis des Bayerischen Journalistenverbandes, für eine TikTok-Recherche 2020 den Journalismuspreis Informatik. Bei netzpolitik.org seit März 2016 als Redakteur dabei. Er ist erreichbar unter markus.reuter | ett | netzpolitik.org, sowie auf Mastodon und Bluesky.

Kontakt: E-Mail (OpenPGP)

Veröffentlicht 03.07.2020 um 17:04
Kategorie
Schlagworte
Weitere Artikel
tiktok logo tiananmenplatz
Öffentlichkeit

Content-Moderation bei TikTokEine neue Dimension der Informationskontrolle

Unsere Recherchen zur Content Moderation bei TikTok zeigen, wie wenig politische Meinungsfreiheit auf der Plattform respektiert wird. Das chinesische Unternehmen kontrolliert und manipuliert intransparent wie bisher kein anderer marktdominanter Konkurrent diese neue Öffentlichkeit. Selbst Facebook wirkt dagegen fast wie ein demokratisches Forum. Ein Kommentar.

Lesen Sie diesen Artikel: Eine neue Dimension der Informationskontrolle
Logo unseres Off-the-Record-Podcasts
Off/On – der Podcast von netzpolitik.org

NPP 191 Off The RecordDie TikTok-Recherche und ein neues Gesicht

Lustige Videos, heile Welt. Die Videoplattform TikTok ist das am schnellsten wachsende soziale Netzwerk. Wir haben seit August über Moderation und Inhaltskontrolle auf der chinesischen Plattform recherchiert – und geben im Podcast nun einen Blick hinter die Kulissen.

Lesen Sie diesen Artikel: Die TikTok-Recherche und ein neues Gesicht
Was fällt bei TikTok unter das NetzDG?
Öffentlichkeit

NetzDG-BerichtTikTok löscht und sperrt am häufigsten politische Inhalte

Mobbing und Hassrede gibt es auch auf dem sozialen Netzwerk TikTok. Mit dem Netzwerkdurchsetzungsgesetz geht der Betreiber der Video-App jedoch vor allem gegen Inhalte vor, die einen politischen Bezug zu haben scheinen. Auf Vorwürfe der Beleidigung reagiert das Unternehmen einem an diesem Freitag veröffentlichten Bericht zufolge selten.

Lesen Sie diesen Artikel: TikTok löscht und sperrt am häufigsten politische Inhalte

1 Ergänzungen

  1. Copy und paste ganzer Texte kann man auch so erkennen, die Zwischenablage gibt nur marginal mehr Information bzgl. dieses Erkennens, aber viel Information von anderen Sachen, die die App nichts angehen. OS-Fehler oder böse App mal dahingestellt.

    Ich verstehe nicht wie man jetzt an anderer Leute Sitzungen herankommt. Kann man den Browser mit einem Fake Profil dazu bringen, eine Seite unter der Kontrolle des Angreifers anzusteuern?

    Das wäre ein Grund, Millionen-Nutzer-Klitschen grundsätzlich plattzumachen, zumindest sollten die diese Fehlerklassen nur einmal machen dürfen. Das ist wirklich nicht lustig.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.