© Igor Sapozhkov, 123RF

In der beliebten Video-App TikTok wurden erhebliche Sicherheitsmängel entdeckt – nicht nur einer, sondern gleich eine ganze Kollektion diverser Schwachstellen.

Die Video-App TikTok gibt es für Android und iOS. Sie gehört aktuell zu den sich am schnellsten verbreitenden Apps und ist vor allem in Asien sehr populär, aber auch deutsche Teenies nutzen sie gern. Forscher der IT-Sicherheitsfirma Check Point haben Ende 2019 mehrere Sicherheitslücken in TikTok entdeckt und an dessen Hersteller ByteDance gemeldet [1]. Insgesamt wurden so fünf serverseitige Schwachstellen gefunden und nun vom Hersteller korrigiert. Dabei handelt es sich um Schwachstellen im Web-Backend und der TikTok-Infrastruktur, die verschiedene Account-Manipulationen ermöglichen. Unter anderem können Angreifer darüber Account-Inhalte modifizieren und persönliche Informationen von TikTok-Benutzern abgreifen.

Eine dieser Sicherheitslücken erlaubt eine einfach zu realisierende SMS-Link-Spoofing-Attacke gegen Smartphone-Benutzer. Der Angriff basiert darauf, dass der Anwender auf der Webseite http://www.tiktok.com eine beliebige Telefonnummer eingeben kann, um via SMS einen Download-Link an das entsprechende Telefon schicken zu lassen. Der so Informierte kann dann über diesen Link direkt die TikTok-App herunterladen. Das Feature findet sich auf der TikTok-Hauptseite. Hierbei wird ein HTTP-Request an den Server gesendet, der die Telefonnummer und den Download-Link enthält.

Ein Angreifer kann nun unter Umständen den Download-Link-Parameter (»download_url«) im Request modifizieren und so das Opfer dazu bringen, dem von ihm vorgegeben Link zu folgen. Hierzu verwendet der Angreifer beispielsweise einfach einen Proxy zwischen der Webseite und dem Anwender. Ähnlich wie der Download-Link lässt sich auch die Zielnummer der SMS ändern, die ebenfalls in der URL über den Mobile-Parameter übertragen wird. Auch diesen Eintrag passt der Angreifer gegebenenfalls über einen Proxy seinen Zwecken an. Basierend auf dieser Attacke lotst er sein Opfer dann auf eigens dafür eingerichtete Malware- oder Phishing-Webseiten.

Die SMS-Link-Spoofing-Attacke lässt sich mithilfe weiterer Schwachstellen in TikTok noch ausbauen. Dabei handelt es sich um Sicherheitslücken in einigen TikTok-Server-Subdomains, die es erlauben, auch registrierte TikTok-Nutzer anzugreifen. Dazu muss der Angreifer eine dieser Subdomains in Kombination mit bestimmten Parametern in der SMS verwenden. Daneben gibt es auch eine Deep-Link-Schwachstelle, die es ermöglicht Android-Intents (abstrakte Beschreibungen auszuführender Operationen) über eine Browser-URL in der App aufzurufen. Die Forscher entdeckten dieses Problem durch ein Reverse-Engineering der TikTok-App. Auch diese Schwachstelle kann der Angreifer mit einer SMS-Link-Spoofing-Attacke kombinieren, indem er Intent-Schemes in die modifizierte URL einbaut. Über eine solche URL kann er dann beispielsweise einen Android Web View öffnen und das Opfer darin auf eine beliebige Webseite schicken.

Neben diesen beiden Schwachstellen haben die Check-Point-Forscher noch Redirection-Fehler gefunden. Das Problem tritt beim Verarbeiten von Login-Links unter der TikTok-Domain http://login.tiktok.com auf. Die HTTP-»GET«-Anfrage des Logins darf eine »redirect_url« enthalten. Diesen Parameter kontrolliert TikTok allerdings anschließend nicht ordentlich, sondern prüft lediglich, ob die Zeichenkette mit »tiktok.com« endet. Ein Angreifer kann dies für Attacken ausnutzen, um Anwender auf beliebige Webseiten weiterzuleiten. Zusätzlich sind auch noch Cross-Site-Scripting-Attacken gegen die Subdomain http://ads.tiktok.com möglich.

Entscheidend für all diese Attacken ist, dass das Opfer die via SMS-Link-Spoofing generierte URL in der SMS anklickt. ByteDance hat die gemeldeten serverseitig bedingten Sicherheitsprobleme schon Ende 2019 korrigiert, sodass entsprechende Attacken nicht mehr möglich sind.