Video-App

Sicherheitslücke bei TikTok erlaubte Übernahme von Accounts

Einem Freiburger gelang es im März, fremde Profile in der Video-App TikTok komplett zu übernehmen. Dafür musste er gar nicht einmal besonders versiert vorgehen, sondern nur Informationen auslesen, die TikTok selbst herausgab.

Frau filmt Frau im Hochformat, Konfetti ist in der Luft
Lustig, Konfetti, gute Laune. In Sachen IT-Sicherheit sieht es bei TikTok nicht so gut aus. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Amanda Vick

TikTok kommt nicht aus den negativen Schlagzeilen heraus: Als sei es nicht genug, dass die Video-App für das beständige Auslesen des Zwischenspeichers in die Kritik geraten ist, sie in Indien aus den App-Stores geflogen ist und ein großer Anonymous-Account zur Löschung der „chinesischen Spyware“ aufrief und EU-Datenschützer sich näher mit der App beschäftigen wollen.

Von Januar bis März dieses Jahres gab es eine gravierende Sicherheitslücke bei TikTok. Die hat der Freiburger Frederik Greve entdeckt und veröffentlicht. Anfang des Jahres hatte das Unternehmen eine neue Funktion getestet, die es Nutzer:innen erlaubte, einen Link zu einer Website in ihrem Profil einzubinden. Mit dieser Funktion konnte Greve im März die Kontrolle über fremde TikTok-Profile übernehmen.

Sitzungsinformationen an Webseiten rausgeschickt

Greve erklärt den Hack in einem Blogpost auf Facebook. TikTok öffnet, ähnlich wie Facebook, Links nicht in einer externen Browser-App wie Safari oder Chrome, sondern in einem integrierten Browser in der App selbst. Dadurch können Webseiten-Betreiber diese Aufrufe aus der TikTok-App anhand des so genannten User-Agents identifizieren. Dieser User-Agent wird bei jeder Anfrage an den Webserver übermittelt. Diese Informationen befinden sich im Header, dem Kopfbereich einer Web-Anfrage an einen Server. In so einem Header können aber auch weitere Informationen übergeben werden, wie zum Beispiel Formulardaten oder Cookies.

Greve schreibt:

Bei der Analyse des vom TikTok In-App-Browser übermittelten Headers fiel mir auf, dass neben des User-Agents weitere Informationen geschickt wurden. Bei diesen Daten handelte es sich unter anderem um die Sitzunginformationen des angemeldeten TikTok-Nutzers.

So wurde bei jedem Login in der App oder auf einer Website für den angemeldeten Nutzer ein Schlüssel generiert, der in Form eines Cookies im Browser gespeichert wird. Mit diesem Schlüssel identifiziert sich der Nutzer beim Server. Wer über diesen Schlüssel verfügt, hatte vollen Zugriff auf den Account.

Mit Hilfe dieser Erkenntnisse testete Greve mit Fake-Profilen die Sicherheitslücke und machte API-Schnittstellen ausfindig. Danach konnte er die Kontrolle über fremde Profile übernehmen, darauf Videos veröffentlichen oder löschen.

TikTok nicht nur wegen Sicherheit in Kritik

Greve meldete sich mit seinen Erkenntnissen bei TikTok. Dort erbat man sich laut Greve 90 Tage Zeit bis zur Veröffentlichung der Lücke. TikTok bestätigte gegenüber netzpolitik.org, dass diese Lücke existiert habe, und dankte Greve für den Hinweis. Die Lücke sei geschlossen worden. Es gebe keinen Hinweis darauf, dass die Lücke ausgenutzt worden sei.

TikTok ist in den letzten Monaten zu einer der größten Social-Media-Plattformen der Welt aufgestiegen. Vor allem in der jungen Zielgruppe ist die App beliebt. TikTok war in der Vergangenheit auch durch Recherchen von netzpolitik.org weltweit für die Moderationspolitik, den Umgang mit behinderten Menschen und das ausgeklügelte System der Informationskontrolle in die Kritik geraten.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

Eine Ergänzung
  1. Copy und paste ganzer Texte kann man auch so erkennen, die Zwischenablage gibt nur marginal mehr Information bzgl. dieses Erkennens, aber viel Information von anderen Sachen, die die App nichts angehen. OS-Fehler oder böse App mal dahingestellt.

    Ich verstehe nicht wie man jetzt an anderer Leute Sitzungen herankommt. Kann man den Browser mit einem Fake Profil dazu bringen, eine Seite unter der Kontrolle des Angreifers anzusteuern?

    Das wäre ein Grund, Millionen-Nutzer-Klitschen grundsätzlich plattzumachen, zumindest sollten die diese Fehlerklassen nur einmal machen dürfen. Das ist wirklich nicht lustig.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.