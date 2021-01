Denise Bergert

Über eine Sicherheitslücke im Friend Finder hätten Hacker Nutzerdaten und Telefonnummern stehlen können.

Vergrößern TikTok hat eine gefährliche Sicherheitslücke geschlossen. © TikTok

Der Launch eines Bug Bounty Programms, in dessen Rahmen Sicherheitsforscher für gefundene Lücken in der App finanziell entlohnt werden, scheint sich für TikTok auszuzahlen. In dieser Woche hat der Betreiber eine gefährliche Sicherheitslücke in der Friend-Finder-Funktion geschlossen. Entdeckt wurde die Lücke durch das Sicherheitsunternehmen Check Point Security . Hacker hätten hier über die Friend-Finder-Funktion der App Profil-Details und Telefonnummern von Nutzern erbeuten können, um diese später in einer Datenbank für Malware-Angriffe einzusetzen.

Für jede Friend-Finder-Anfrage generieren die TikTok-Server mit einer individuellen Geräte-ID einen User-Token und einen Session Cookie. Diese Cookies waren bis zu 60 Tage lang gültig und konnten anstatt von physischen Smartphones auch von virtuellen Geräten genutzt werden. Über ein solches virtuelles Gerät gelang es den Sicherheitsforschern von Check Point Security, die Sicherheitsvorkehrungen der TikTok-Server zu umgehen und sie dazu zu bewegen, Nutzer-Informationen und Telefonnummern herauszugeben. Dieser Prozess hätten den Experten zufolge auch automatisiert werden können. Hacker hätten sich so eine Datenbank mit Nutzerprofilen anlegen können, die sie später für Malware-Attacken nutzen könnten.

Check Point Security habe die Sicherheitslücke eigenen Aussagen zufolge in den vergangenen Monaten entdeckt und die TikTok-Betreiber darüber informiert. Gemeinsam mit den Sicherheitsexperten fanden sie einen Weg, die Lücke nun zu schließen. Hacker haben so keine Chance mehr, Profildaten über die Friend-Finder-Lücke zu erbeuten.