Zugriff auf private Videos: Ausmaß der Sicherheitslücken bei TikTok aufgedeckt

Nachdem die App TikTok in der Vergangenheit immer wieder in der Kritik stand, unter anderem wegen der Reichweitenbegrenzung des Contents von Menschen mit Behinderung, der Sperrung von LGBTQ+ positivem Inhalt oder anderen Zensurvorwürfen, veröffentlichte die israelische Security-Firma Check Point jetzt einen Bericht über große Sicherheitslücken in der App.

Sicherheitslücken in der beliebten App entdeckt

Im Juli überholte TikTok die Fotoplattform Instagram und setzte sich an die Spitze der Top Apps. Mit 800 Millionen aktiven Nutzern kann man die App durchaus als beliebt bezeichnen. Besonders Kinder und Jugendliche nutzen die Plattform, um kurze Videos zu erstellen und mit den restlichen 800 Millionen Nutzern zu teilen. Umso schlimmer, dass die Researcher nun einige bedenkliche Sicherheitslücken für Nutzer aufdeckten. Während nicht feststeht, inwieweit Hacker die Lücken bereits ausgenutzt haben, sind diese mittlerweile geschlossen.

Eine Funktion auf der TikTok-Website fragt die Besucher nach ihrer Telefonnummer, um ihnen per SMS einen Downloadlink zukommen zu lassen. Bis zur Behebung des Fehlers war es Hackern damit möglich, Nutzern Nachrichten mit eigenen Links zu schicken. Wenn diese auf den Link, der vermeintlich von TikTok kam, klickten, hatten diese Zugang zu den Accounts. Somit konnten sie auf den bereits bestehenden Content zugreifen, Videos löschen und hochladen, private Videos öffentlich machen und auf private Informationen wie E-Mail-Adressen und Geburtsdaten zugreifen.

Nach Update wieder auf dem neuesten Stand

Once we finished the review and understood that we could easily manipulate the accounts, we said let’s stop here and share the information. We hope that now more researchers will check the app and that TikTok will increase their security validation cycle,

erklärte Oded Vanunu, Head of Product Vulnerability Research bei Check Point, Wired gegenüber. Am 20. November wurde TikTok über die Sicherheitslücken informiert und bis zum 15. Dezember wurden alle Schwachstellen mit einem Update der App ausgemerzt. Luke Deshotels von TikTok gab der New York Times gegenüber an, dass es keine Anzeichen dafür gebe, dass ein Hackangriff tatsächlich vorgenommen wurde.

Mehr Wachstum, weniger Sicherheit?

Gerade bei so jungen Apps wie TikTok kann es vorkommen, dass die Sicherheit erstmal hinter der Entwicklung von neuen Features für die User ansteht:

I would expect these types of vulnerabilities in a company like TikTok, which is probably more focused on tremendous growth, and on building new features for their users, rather than security,

so Christoph Hebeisen, Head of Research bei der Sicherheitsfirma Lookout. Doch Bedrohungen der Sicherheit sind nicht nur bei neuen Apps der Fall. Apps wie Instagram und Facebook, die schon seit Jahren bestehen, sind besonders durch ihre hohen Nutzerzahlen auch in Gefahr. Kritisch wird es zudem, wenn die Nutzer, die gerade bei TikTok meist sehr jung und teilweise minderjährig sind, sich der möglichen Gefahren nicht bewusst sind. Vanunu möchte hierauf besonders aufmerksam machen:

What we’re trying to make sure people understand is that the cyber space is something that doesn’t just start and end on a sophisticated platform, but that if you’re in cyber space, even for day to day activity, your data and privacy are at risk.

Bedrohung für Marketing auf TikTok?

Auch mehr und mehr Marken und Unternehmen erstellen sich einen Account auf TikTok, um die junge Zielgruppe zu erreichen. Die Downloadzahlen zeigen, wie hoch das Marketingpotential der Plattform sein kann, doch auch Unternehmens-Accounts müssen sich mit der Sicherheit der Plattform auseinandersetzen. Zuletzt untersagte die US Army ihren Soldaten die Nutzung der App auf ihrem Dienst-Smartphone, nachdem sie selbst noch im Oktober über die Plattform versuchte, neue Soldaten zu rekrutieren. Sie gab an, TikTok als potentielles Sicherheitsrisiko für die USA einzustufen.