Microsoft berichtet in seinem Security-Blog über eine “hochgradig gefährliche“ Sicherheitslücke in der Tiktok-App für Android. Die Schwachstelle wurde vom Microsoft 365 Defender Research Team aufgespürt und von den App-Entwicklern inzwischen geschlossen. Microsoft habe eigenen Angaben zufolge keine Hinweise auf die Ausnutzung der Sicherheitslücke gefunden.

Tiktok-Konto mit nur einem Klick kapern

Die Schwachstelle mit der Kennung CVE-2022-28799 hätte von Angreifern ausgenutzt werden können, um ein Tiktok-Konto zu kapern, ohne dass dessen Besitzer etwas davon bemerkt. Der Kontoinhaber hätte dafür einfach auf einen speziell gestalteten Link klicken müssen. Tappt er in diese Falle, wäre Angreifern der Zugriff auf dessen Tiktok-Profil und daher auf dessen persönliche Nutzerdaten gewährt worden. Mit dem vollen Zugriff auf das gestohlene Tiktok-Konto hätten Angreifer etwa Videos im Namen des Kontoinhabers veröffentlichen oder Nachrichten verschicken können.

Lücke umgeht Deeplink-Verifizierung

Die Sicherheitslücke habe es laut Microsoft Angreifern erlaubt, die Deeplink-Verifizierung der Tiktok-App für Android zu umgehen. Auf diese Weise konnte die App dazu gezwungen werden, eine beliebige URL in die Web-Ansicht der App zu laden. Die URL konnte so auf die angeschlossenen Javascript-Bridges der WebView zugreifen und Angreifern unterschiedliche Funktionen zugänglich machen.

Tiktok hat umgehend reagiert

Tiktok hat laut Microsoft-Angaben zwei Versionen seiner App – eine für Ost- und Südostasien und eine für alle übrigen Länder. Die Schwachstelle sei von den Sicherheitsexperten in beiden App-Versionen gefunden worden. 1,5 Milliarden Nutzer seien so potenziell gefährdet gewesen. Tiktok sei bereits im Februar 2022 über die Lücke informiert worden und habe umgehend einen Fix veröffentlicht. “Wir loben die effiziente und professionelle Lösung des TikTok-Sicherheitsteams. TikTok-Nutzern wird empfohlen, sicherzustellen, dass sie die neueste Version der App verwenden“, so Microsoft. (PC-Welt)