Seeky

Warum ist TikTok gefährlich und was machen andere Apps?

Datum der Ausstellung

22. 3. 2023

Sind Sie an dem beschriebenen Thema interessiert?

Kontaktieren Sie uns
Warum ist TikTok gefährlich und was machen andere Apps?

Am 8. März 2023 warnte das National Cyber and Information Security Bureau “vor einer Bedrohung der Cybersicherheit durch die Installation und Nutzung der TikTok-App auf Geräten, die darauf zugreifen:

Nach Angaben der Behörde ist die Bedrohungsstufe “Hoch – Bedrohung ist wahrscheinlich bis sehr wahrscheinlich”.

Der Grund für diese Warnung ist, dass “TikTok, entwickelt und betrieben von dem chinesischen Unternehmen ByteDance , eine übermäßige Menge an Benutzerdaten sammelt”.

Unter Berufung auf den Jahresbericht 2021 des Sicherheitsinformationsdienstes (BIS) stellt der NCIS ferner fest, dass “die VR China eine wachsende komplexe nachrichtendienstliche Bedrohung darstellt”.

ByteDance ist ein Unternehmen, das der nationalen chinesischen Gesetzgebung unterliegt. So verpflichten die Gesetze der VR China zur Staatssicherheit und zum staatlichen Nachrichtendienst alle chinesischen Bürger und Organisationen zur Unterstützung der staatlichen Behörden in Fragen der Staatssicherheit, zur Unterstützung der Aktivitäten des nationalen Nachrichtendienstes sowie zur Zusammenarbeit und zur Bereitstellung von Informationen über ausländische Kunden chinesischer Unternehmen für den Fall, dass die staatlichen Behörden diese der Spionage verdächtigen.

“Die von ByteDance erlangten Daten können also dazu verwendet werden, Cyberangriffe auf bestimmte Personen zu richten und so das Risiko ihres Erfolgs zu erhöhen (z.B. durch Spear Phishing). Gleichzeitig können diese Daten verwendet werden, um Personen von Interesse zu erpressen und so die Sicherheit oder die strategischen Interessen der Tschechischen Republik zu untergraben.”

Lesen Sie mehr unter https://www.nukib.cz/download/uredni_deska/2023-03-08_Varovani-TikTok_final.pdf

Warum ist TikTok eine Bedrohung? Was ist mit anderen Apps?

Wir haben eine schnelle statische Analyse der Anwendung mit dem Open-Source-Tool MobSF durchgeführt. Was haben wir gefunden?

🔴


T IKTOK auf Apple-Geräten iOS-App-Version: 28.4.0, ID: com.zhiliaoapp.musically Sicherheitsbewertung: 38/100Risikobewertung: C (Hohes Risiko)

Die wichtigsten Probleme:

  • Die App fordert den Zugriff auf Kamera, Fotobibliothek, Musik, Mikrofon, Kalender, Kontakte und Standortbestimmung an, selbst wenn sie im Hintergrund läuft.
  • Die App-Transport-Sicherheitsbeschränkungen sind für alle Verbindungen deaktiviert – dies ermöglicht es dem integrierten Browser, alle vom Benutzer in der App eingegebenen Daten zu erfassen . Selbst wenn die TikTok-App geladen ist, können Sie also eine Website eines Dritten – z.B. eines E-Shops.
  • Die Anwendung ist möglicherweise anfällig für die Ausnutzung der bekannten Schwachstellen CWE-676: Verwendung einer potenziell gefährlichen Funktion, CWE-789: Unkontrollierte Speicherzuweisung

🔴

T IKTOK für Android Android App Version: 28.3.3, ID: com.zhiliaoapp.musically❌
Sicherheitsbewertung: 40/100Risikobewertung: B (Mittleres Risiko)!

Auch auf der Android-Plattform sind die Probleme ähnlich:

  • Die Anwendung erfordert 75 Berechtigungen
  • Versuch, das SSL-Pinning zu umgehen
  • Verwendet schwache Verschlüsselungsalgorithmen, sendet Daten in offener Form (Klartext)
  • Erfasst alle vom Benutzer eingegebenen Daten in der Anwendung

Was ist mit anderen Plattformen?

Es ist wichtig zu wissen, dass andere soziale Apps wie z.B.. Instagram, Facebook, Twitter, usw.

Deshalb haben wir uns interessehalber die Instagram-App für iOS angeschaut. Wie hat sie sich geschlagen? Noch schlimmer als TikTok… Meta, das Unternehmen hinter der Instagram-App, unterliegt zwar nicht dem chinesischen Recht, aber das Verhalten der App ist dennoch alarmierend.

🔴

INSTAGRAM für Apple-Geräte Kennung: com.zhiliaoapp.musically❌
Sicherheitsbewertung: 26/100 Rist-Einstufung: F (Kritisches Risiko)❗️❗️

Warnen ist eine Sache, aber wie lassen sich die entsprechenden Maßnahmen technisch umsetzen?

Mobile Device Management (MDM), oder Unified Endpoint Management (UEM), ist eine Lösung, die:

Für reine Arbeitsmittel (COBO) kann es:

  • Entweder Sie kontrollieren die Installation von Apps vollständig und beschränken die Liste der Apps auf die ausdrücklich erlaubten,
  • oder unerwünschte Anwendungen zu erkennen und Korrekturmaßnahmen zu automatisieren – zum Beispiel die vorübergehende Sperrung des Gerätezugriffs auf die Daten des Unternehmens.

Die Installation oder Verwendung von TikTok kann vollständig verhindert werden.

Bei BYOD- oder Firmengeräten mit privatem Profil (COPE) ist dies möglich:

  • Sichern Sie die Daten des Unternehmens mit Containertechnologie und trennen Sie sie von privaten Daten.
  • Schränken Sie den Zugriff auf Ihren Kalender und Ihre Kontakte in Ihrem Arbeitsprofil ein.
  • Steuern Sie die gemeinsame Nutzung von Daten über die Zwischenablage zwischen privaten und geschäftlichen Profilen.

Es kann daher den Umfang der Daten, auf die TikTok zugreifen kann, einschränken.

Neue Versionen mobiler Betriebssysteme legen großen Wert auf den Schutz der Privatsphäre der Benutzer. So ist es nicht mehr notwendig, so genannte nicht rücksetzbare Gerätekennungen (MAC, IMEI…) auf der Anwendungsebene zu erkennen und zur Verfolgung des Geräts zu verwenden.

Mit der Verwaltung mobiler Geräte können wir eine Aktualisierung des Betriebssystems (OS) erzwingen und auch die Mindestversion des OS festlegen, die für den Zugriff auf die Daten des Unternehmens zugelassen ist.

Die nächste Stufe der mobilen Sicherheit ist die Integration von MDM/UEM-Lösungen mit modernen Mobile Threat Defense (MTD)-Tools.

Mit MTD können wir Geräte vor anderen Angriffsvektoren wie Privilegienerweiterung, Geräteübernahme, Netzwerkangriffe und Phishing schützen.

Weitere Artikel

Wir leben mit digitalen Technologien. Und deshalb schreiben wir über sie.

Neueste Artikel
 Weitere Artikel
1/10

Oder kontaktieren Sie uns direkt

Martina Plisková

Martina Plisková

Bürokoordinator

Kontaktieren Sie uns

Füllen Sie unser Formular aus und erhalten Sie innerhalb weniger Tage ein Angebot für ein unverbindliches Beratungsgespräch.

    Kontakt - Martina Pliskova