Video-AppSicherheitslücke bei TikTok erlaubte Übernahme von Accounts

Einem Freiburger gelang es im März, fremde Profile in der Video-App TikTok komplett zu übernehmen. Dafür musste er gar nicht einmal besonders versiert vorgehen, sondern nur Informationen auslesen, die TikTok selbst herausgab.

Frau filmt Frau im Hochformat, Konfetti ist in der Luft
Lustig, Konfetti, gute Laune. In Sachen IT-Sicherheit sieht es bei TikTok nicht so gut aus. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Amanda Vick

TikTok kommt nicht aus den negativen Schlagzeilen heraus: Als sei es nicht genug, dass die Video-App für das beständige Auslesen des Zwischenspeichers in die Kritik geraten ist, sie in Indien aus den App-Stores geflogen ist und ein großer Anonymous-Account zur Löschung der „chinesischen Spyware“ aufrief und EU-Datenschützer sich näher mit der App beschäftigen wollen.

Von Januar bis März dieses Jahres gab es eine gravierende Sicherheitslücke bei TikTok. Die hat der Freiburger Frederik Greve entdeckt und veröffentlicht. Anfang des Jahres hatte das Unternehmen eine neue Funktion getestet, die es Nutzer:innen erlaubte, einen Link zu einer Website in ihrem Profil einzubinden. Mit dieser Funktion konnte Greve im März die Kontrolle über fremde TikTok-Profile übernehmen.

Sitzungsinformationen an Webseiten rausgeschickt

Greve erklärt den Hack in einem Blogpost auf Facebook. TikTok öffnet, ähnlich wie Facebook, Links nicht in einer externen Browser-App wie Safari oder Chrome, sondern in einem integrierten Browser in der App selbst. Dadurch können Webseiten-Betreiber diese Aufrufe aus der TikTok-App anhand des so genannten User-Agents identifizieren. Dieser User-Agent wird bei jeder Anfrage an den Webserver übermittelt. Diese Informationen befinden sich im Header, dem Kopfbereich einer Web-Anfrage an einen Server. In so einem Header können aber auch weitere Informationen übergeben werden, wie zum Beispiel Formulardaten oder Cookies.

Greve schreibt:

Bei der Analyse des vom TikTok In-App-Browser übermittelten Headers fiel mir auf, dass neben des User-Agents weitere Informationen geschickt wurden. Bei diesen Daten handelte es sich unter anderem um die Sitzunginformationen des angemeldeten TikTok-Nutzers.

So wurde bei jedem Login in der App oder auf einer Website für den angemeldeten Nutzer ein Schlüssel generiert, der in Form eines Cookies im Browser gespeichert wird. Mit diesem Schlüssel identifiziert sich der Nutzer beim Server. Wer über diesen Schlüssel verfügt, hatte vollen Zugriff auf den Account.

In diesem Fenster soll ein YouTube-Video wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an YouTube. Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Datenabfluss an YouTube solange, bis ein aktiver Klick auf diesen Hinweis erfolgt. Technisch gesehen wird das Video von YouTube erst nach dem Klick eingebunden. YouTube betrachtet Deinen Klick als Einwilligung, dass das Unternehmen auf dem von Dir verwendeten Endgerät Cookies setzt und andere Tracking-Technologien anwendet, die auch einer Analyse des Nutzungsverhaltens zu Marktforschungs- und Marketing-Zwecken dienen.

Zur Datenschutzerklärung von YouTube/Google

Mit Hilfe dieser Erkenntnisse testete Greve mit Fake-Profilen die Sicherheitslücke und machte API-Schnittstellen ausfindig. Danach konnte er die Kontrolle über fremde Profile übernehmen, darauf Videos veröffentlichen oder löschen.

TikTok nicht nur wegen Sicherheit in Kritik

Greve meldete sich mit seinen Erkenntnissen bei TikTok. Dort erbat man sich laut Greve 90 Tage Zeit bis zur Veröffentlichung der Lücke. TikTok bestätigte gegenüber netzpolitik.org, dass diese Lücke existiert habe, und dankte Greve für den Hinweis. Die Lücke sei geschlossen worden. Es gebe keinen Hinweis darauf, dass die Lücke ausgenutzt worden sei.

TikTok ist in den letzten Monaten zu einer der größten Social-Media-Plattformen der Welt aufgestiegen. Vor allem in der jungen Zielgruppe ist die App beliebt. TikTok war in der Vergangenheit auch durch Recherchen von netzpolitik.org weltweit für die Moderationspolitik, den Umgang mit behinderten Menschen und das ausgeklügelte System der Informationskontrolle in die Kritik geraten.

Eine Ergänzung

  1. Copy und paste ganzer Texte kann man auch so erkennen, die Zwischenablage gibt nur marginal mehr Information bzgl. dieses Erkennens, aber viel Information von anderen Sachen, die die App nichts angehen. OS-Fehler oder böse App mal dahingestellt.

    Ich verstehe nicht wie man jetzt an anderer Leute Sitzungen herankommt. Kann man den Browser mit einem Fake Profil dazu bringen, eine Seite unter der Kontrolle des Angreifers anzusteuern?

    Das wäre ein Grund, Millionen-Nutzer-Klitschen grundsätzlich plattzumachen, zumindest sollten die diese Fehlerklassen nur einmal machen dürfen. Das ist wirklich nicht lustig.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.