In der Android-App TikTok wurde eine Schwachstelle entdeckt, die es Angreifern ermöglicht, sich unentdeckt Zugang zu Konten zu verschaffen.

Microsoft hat heute eine Sicherheitslücke in der Android-App TikTok offengelegt, die es Angreifern ermöglichte, sich mit einem einzigen Klick Zugriff auf Benutzerkonten zu verschaffen. Dies folgt auf die jüngste Klarstellung von TikTok zu einer mutmaßlichen Datenschutzverletzung in den USA.

Die Besonderheit des Exploits erforderte, dass mehrere Probleme miteinander verkettet werden mussten, um zu funktionieren, und das Problem war bereits behoben worden, ohne Anzeichen einer Ausbeutung in freier Wildbahn. Angreifer könnten dies ohne Wissen der Benutzer verwenden, wenn es verwendet würde.

Die Schwachstelle selbst ermöglichte es Angreifern, die Deep-Link-Prüfungen einer Anwendung zu umgehen, indem sie sie zwang, eine beliebige URL in die Webansicht der Anwendung zu laden, wodurch sie auf verbundene JavaScript-Bridges zugreifen und Funktionen offenlegen konnte.

Es gibt zwei verschiedene Varianten der TikTok-App, eine für Ost- und Südostasien und eine für den Rest der Welt. Beide waren von diesem Exploit betroffen und Microsoft hat TikTok bereits im Februar 2022 über dieses Problem informiert.

TikTok veröffentlichte im März 2022 ein Update für die App und arbeitete mit Microsoft zusammen, um die Lücke schnell zu schließen. Glücklicherweise wurde der Angriff nicht aktiv ausgenutzt, da damit Videos und andere Inhalte unbemerkt auf der Plattform gepostet werden konnten. Microsoft bekräftigte, dass JavaScript nach Möglichkeit vermieden werden sollte, da es erhebliche Risiken verhindern kann.