Uli Blumenthal: TikTok ist eine chinesische Kurzvideo-Plattform und derzeit die erfolgreichste App bei Teenagern. Nutzer können kurze, selbstgedrehte Videos aufnehmen und mit Musik unterlegen. TikTok ist aber nicht nur eine Plattform für Videos, sondern zugleich ein soziales Netzwerk. Israelische Sicherheitsforscher von Check Point Research haben gleich mehrere Schwachstellen im Videonetzwerk Tiktok gefunden. Die Sicherheitslücken sind allerdings nicht ganz neu. Warum geht es da konkret, Peter Welchering?
Peter Welchering: Es handelt sich um zwei Klassen von Sicherheitslücken, zum einen in der TikTok-App, zum anderen auf der TikTok-Website. Im Endeffekt geht’s es darum, dass Angreifer mit diesen Sicherheitslücken TikTok-Anwendern Videos unterschieben konnten und in deren Namen hochladen. Und die Hacker konnten außerdem Videos, die von den Nutzern als privat markiert waren, für die Öffentlichkeit freigeben.
Filme, die nur Freunde sehen sollten, wurden öffentlich
Das ist ein Punkt, der ist deshalb so wichtig, weil Tiktok von vielen Kindern und Jugendlichen genutzt wird, die ihre privaten Videos mit ihren Freunden teilen. Dafür werden die Videos als privat markiert, so dass nur die Freunde die sehen können. Werden diese Videos dann als öffentlich markiert, für die Öffentlichkeit freigegeben, sind dann durchaus sehr private Bilder frei verfügbar. Das ist schon ein massives Problem. Außerdem konnten Videos auch gelöscht werden und Angreifer an persönliche Daten der TikTok-Anwender gelangen - zum Beispiel an deren Mailadresse oder Geburtsdatum.
Blumenthal: Welche Sicherheitslücken haben die israelischen Experten auf dem TikTok-Server gefunden?
Welchering: Da haben die eine Angriffsmethode gefunden, über die Sicherheitsexperten schon seit einigen Jahren diskutieren, nämlich die Fälschung von Anfragen. Dabei nutzen die Angreifer eine Schwachstelle aus, um Schadsoftware in den regulären Code bei Nutzeranfragen an den Server einzubauen, so dass diese Schadsoftware unbemerkt auf das Smartphone oder auf den Rechner des Nutzers überspielt werden kann. Und der Nutzer kann dadurch auf eine Website mit Schadsoftware umgeleitet werden und holt sich dann weiteren Schadcode von dieser Webseite auf sein Gerät.
Manipulierte Anfragen öffnen die Tür für Schadsoftware
Blumenthal: Wie funktioniert das genau?
Welchering: Wenn zum Beispiel eine Grafik mit einem Videosignet bei einer Nutzeranfrage vom TikTok-Server nachgeladen wird, kann ein Angreifer bei dieser Sicherheitslücke eine manipulierte Anfrage schicken. Die Webanwendung hält diese Anfrage dann für autorisiert und lädt eben entsprechenden Schadcode von einer andere Website, die der Angreifer ausgewählt nach, nach oder ein zuvor eingeschleustes Script, meistens Javascript.
Blumenthal: Nun heißt es ja, die Schwachstellen seien gefunden und geschlossen worden. Wann sind die denn aufgefallen, und wie viele TikTok-Anwender waren davon betroffen?
Welchering: Nach Aussagen der Firma Check Point waren weltweit tatsächlich potenziell alle 800 Millionen TikTok-Anwender betroffen - in Deutschland rund 5,5 Millionen. Ob und wieviele Angriffe tatsächlich stattgefunden haben, wissen wir nicht.
Entdeckt wurde die Sicherheitslücke im November 2019
Bemerkt haben die Sicherheitsforscher von Check Point das jedenfalls im November vergangenen Jahres. Und dann haben sie auch Check Point informiert. Dazu passt eine zweite Geschichte ziemlich gut: Das US-Militär hat am 16. Dezember vergangenen Jahres seinen Soldaten befohlen, die TikTok-App von Dienst-Smartphones zu löschen und TikTok nicht mehr dienstlich zu verwenden. Das hat für Aufmerksamkeit gesorgt, weil die US Army mit ihren TikTok-Videos ziemlich erfolgreich bei der Rekrutierung von Nachwuchs war. Damals haben auch die Senatoren Tom Cotton aus Arkansas und Chuck Summer aus New York eine Geheimdienstuntersuchung gefordert, um zu klären, ob TikTok ein nationales Sicherheitsrisiko sei. Aus US-Militärkreisen habe ich da erfahren, dass der Anlass für die Forderung der Senatoren und für das TikTok-Verbot des Militärs die laufende Sicherheitsanalyse von Check Point gewesen sei. Die ist allerdings damals nicht veröffentlicht worden, sondern erst heute, damit die Sicherheitslücken geschlossen werden konnten.
Blumenthal: Ist die Angelegenheit dann mit dem Schließen der Sicherheitslücken erledigt - oder wird es da noch weitere geben?
Welchering: Die aktuellen Sicherheitslücken sind laut Aussagen von Check Point dicht. Aber seine gesamte Infrastruktur wird TikTok wohl ein wenig umbauen müssen, insbesondere die Linkstruktur. Denn die ist wegen Lücken im Hypertext-Transfer-Protokoll - also dem üblichen Web-Protokoll -, die immer mal wieder auftauchen, so wie sie konzipiert ist, einfach nicht völlig abzusichern.
Blumenthal: Es gibt Gerüchte, diese Sicherheitslücken bei TikTok seien Hintertüren des chinesischen Geheimdienstes gewesen. Ist da was dran?
Welchering: Das halte ich für unwahrscheinlich. Ein Geheimdienst hätte elegantere Hintertüren eingebaut. Die jetzt diskutierten Sicherheitslücken zeigen einfach, dass die Verantwortlichen bei TikTok schlicht nicht an die Sicherheitsniveaus gedacht haben, die state of the art sind.