Vorsicht: Manipulation bei TikTok-App für iOS und Android nicht auszuschließen

Alexander Trust, den 14. April 2020

Die beiden Entwickler Talal Haj Bakry und Tommy Mysk haben nachgewiesen, dass man die Auslieferung von Videos in der TikTok-App für iOS und Android manipulieren kann. Sie brachten die App dazu, eigene Videos über einen CDN-Server auszuliefern.

Bakry und Mysk setzten sich vor einiger Zeit zum Ziel, in beliebten Apps Sicherheitsprobleme aufzuspüren. TikTok ist für die beiden nicht zum ersten Mal das Ziel ihrer Neugier. Schon im März konnten sie zeigen, dass es Angreifern möglich war, die Inhalte der Zwischenablage von iOS-Nutzern abzugreifen.

Als „MITM“ das TikTok-CDN austauschen

Selbst die aktuellsten Version von TikTok für iOS und Android nutzen für das Ausliefern der Videobeiträge nicht gesicherte CDN-Server (http statt https). Dies macht es Angreifern einfacher möglich, sich in die Kommunikation zwischen Nutzer und Server einzuklinken.

Genau das zeigten Bakry und Mysk nun. Sie erstellten selbst einen CDN-Server, der vorgab, zu TikTok zu gehören und übernahmen die Konversation zwischen Nutzer und App.

Coronavirus-Fake-News

Die beiden Entwickler ersetzten in ihrem „Proof of Concept“ mit ihrem Fake-Server echte Videos des Roten Kreuzes und der Weltgesundheitsorganisation. Sie zeigten stattdessen Videos, die nur Desinformation über das Coronavirus verbreiteten.

WLAN-Verbindung abfangen

Zur Manipulation der Datenübertragung mussten die IT-Spezialisten die Router-Konfiguration des Opfers kennen. Mögliche Täter seien solche, die absichtliche Falschnachrichten in Umlauf bringen wollen.

Manche von Euch kennen vielleicht falsche WLAN-Hotspots, andere nutzen womöglich ein VPN-Netzwerk. Darüber könnten dann MITM-Angriffe ausgeführt werden. Aber auch Internetanbieter oder Behörden könnten so Inhalte manipulieren, ohne dass die Nutzer es am Ende mitbekämen.


Ähnliche Nachrichten