Schwachstelle in TikTok-App

Microsoft hat eine hochgefährliche Sicherheitslücke in der TikTok-Android-Anwendung entdeckt, die es Angreifern ermöglicht hätte, die Konten von Nutzern mit einem einzigen Klick zu kompromittieren. Die Schwachstelle, für deren Ausnutzung eine Verkettung mehrerer Probleme erforderlich gewesen wäre, wurde inzwischen behoben, und das Microsoft 365 Defender Forschungsteam hat noch keine Hinweise auf eine Ausnutzung in freier Wildbahn gefunden.

Angreifer hätten die Schwachstelle ausnutzen können, um ein Konto zu kapern, ohne dass der Benutzer dies bemerkt hätte, wenn er einfach auf einen speziell gestalteten Link geklickt hätte. Angreifer hätten dann auf die TikTok-Profile und sensible Informationen der Nutzer zugreifen und diese verändern können, indem sie beispielsweise private Videos veröffentlichten, Nachrichten verschickten und Videos im Namen der Nutzer hochluden.

Durch die Sicherheitslücke konnte die Deeplink-Verifizierung der App umgangen werden. Angreifer konnten die App dazu zwingen, eine beliebige URL in die WebView der App zu laden, so dass die URL dann auf die angeschlossenen JavaScript-Bridges der WebView zugreifen und Angreifern Funktionen gewähren konnte. Das Microsoft 365 Defender Forschungsteam hat JavaScript-Bridges bereits auf ihre potenziell weitreichenden Auswirkungen hin untersucht. Diese Untersuchung unterstreicht, wie wichtig es ist, beim Anklicken unbekannter Links Vorsicht walten zu lassen, und zeigt außerdem, wie wichtig die Zusammenarbeit innerhalb der Sicherheitsgemeinschaft ist, um den Schutz des gesamten digitalen Ökosystems zu verbessern.

TikTok hat zwei Varianten seiner Android-App: eine für Ost- und Südostasien unter dem Paketnamen com.ss.android.ugc.trill und eine andere für die übrigen Länder unter dem Paketnamen com.zhiliaoapp.musically. Im Rahmen einer Schwachstellenanalyse von TikTok haben wir festgestellt, dass beide Varianten der App für Android, die zusammen über 1,5 Milliarden Installationen im Google Play Store aufweisen, von den Problemen betroffen sind. Nach sorgfältiger Prüfung der Auswirkungen informierte ein Microsoft-Sicherheitsforscher TikTok im Februar 2022 über die Probleme im Rahmen unserer verantwortungsvollen Offenlegungspolitik durch Coordinated Vulnerability Disclosure (CVD) über Microsoft Security Vulnerability Research (MSVR).

TikTok hat schnell reagiert und einen Fix für die gemeldete Schwachstelle veröffentlicht, die nun als CVE-2022-28799 identifiziert wurde. Benutzer können sich für weitere Informationen auf den CVE-Eintrag beziehen. Wir loben die effiziente und professionelle Lösung des TikTok-Sicherheitsteams. TikTok-Nutzern wird empfohlen, sicherzustellen, dass sie die neueste Version der App verwenden.

JavaScript-Schnittstellen

Die Ausnutzung der Schwachstelle hängt von der Implementierung von JavaScript-Schnittstellen in der App ab, die von einer Komponente des Android-Betriebssystems namens WebView bereitgestellt werden. WebView ermöglicht Anwendungen das Laden und Anzeigen von Webseiten und kann mit dem API-Aufruf addJavascriptInterface auch eine Brückenfunktionalität bereitstellen, die es dem JavaScript-Code auf der Webseite ermöglicht, bestimmte Java-Methoden einer bestimmten Klasse in der Anwendung aufzurufen. Das Laden von nicht vertrauenswürdigen Webinhalten in WebView mit Objekten auf Anwendungsebene, auf die über JavaScript-Code zugegriffen werden kann, macht die Anwendung anfällig für JavaScript-Schnittstelleninjektion, was zu Datenlecks, Datenbeschädigung oder in einigen Fällen zur Ausführung von beliebigem Code führen kann.