Seeky

Warum ist TikTok gefährlich und wie sieht es bei anderen Apps aus?

Datum der Ausstellung

22. 3. 2023

Sind Sie an dem beschriebenen Thema interessiert?

Kontaktieren Sie uns
Warum ist TikTok gefährlich und wie sieht es bei anderen Apps aus?

Das Nationale Büro für Cyber- und Informationssicherheit hat eine 8. März 2023 eine Warnung “vor einer Cybersicherheitsbedrohung im Zusammenhang mit der Installation und Nutzung der TikTok-App auf Geräten, die darauf zugreifen:

  • Kritische Informationsinfrastruktur Informations- und Kommunikationssysteme,
  • Basisdienste für Informationssysteme
  • Wichtige Informationssysteme.

Nach Angaben der Behörde ist die Bedrohungsstufe “Hoch – Bedrohung ist wahrscheinlich bis sehr wahrscheinlich”.

Der Grund für diese Warnung ist, dass “TikTok, entwickelt und betrieben von der chinesischen Firma ByteDance , eine übermäßige Menge an Nutzerdaten sammelt”.

Unter Berufung auf den Jahresbericht 2021 des Sicherheitsinformationsdienstes (BIS) stellt der NCIS ferner fest, dass “die VR China eine wachsende komplexe nachrichtendienstliche Bedrohung darstellt”.

ByteDance ist eine Einrichtung, die den nationalen chinesischen Rechtsvorschriften unterliegt. Die Gesetze der VR China über die staatliche Sicherheit und die Aktivitäten des staatlichen Nachrichtendienstes verpflichten beispielsweise alle chinesischen Bürger und Organisationen zur Unterstützung der staatlichen Behörden in Fragen der staatlichen Sicherheit, zur Unterstützung der Aktivitäten des nationalen Nachrichtendienstes und zur Zusammenarbeit und zur Bereitstellung von Informationen über ausländische Kunden chinesischer Unternehmen für den Fall, dass die staatlichen Behörden diese der Spionage verdächtigen.

“Die von ByteDance erlangten Daten können also dazu verwendet werden, Cyberangriffe auf bestimmte Personen zu richten und so das Risiko ihres Erfolgs zu erhöhen (z. B. durch Spear-Phishing). Gleichzeitig können diese Daten zur Erpressung von Personen genutzt werden und so die Sicherheit oder die strategischen Interessen der Tschechischen Republik untergraben.”

Lesen Sie mehr unter https://www.nukib.cz/download/uredni_deska/2023-03-08_Varovani-TikTok_final.pdf

Warum ist TikTok eine Bedrohung? Was ist mit anderen Anwendungen?

Wir haben eine schnelle statische Analyse der Anwendung mit dem Open-Source-Tool MobSF durchgeführt. Was haben wir gefunden?

🔴 TIKTOK auf Apple-Geräten
iOS App Version: 28.4.0, ID: com.zhiliaoapp.musically
❌ Sicherheitsbewertung: 38/100
Risikoeinstufung: C (hohes Risiko)

Hauptprobleme:

  • Die App fordert Zugriff auf Kamera, Fotobibliothek, Musik, Mikrofon, Kalender, Kontakte und Standortbestimmung an, selbst wenn sie im Hintergrund läuft.
  • Die App-Transport-Sicherheitsbeschränkungen sind für alle Verbindungen deaktiviert – dies ermöglicht es dem integrierten Browser, alle vom Benutzer in der App eingegebenen Daten zu erfassen . Selbst wenn die TikTok-App geladen wird, können also Website eines Dritten – z. B. e-shop.
  • Die Anwendung ist möglicherweise anfällig für die Ausnutzung der bekannten Schwachstellen CWE-676: Verwendung einer potenziell gefährlichen Funktion, CWE-789: Unkontrollierte Speicherzuweisung

🔴 TIKTOK auf Android
Android App Version: 28.3.3, ID: com.zhiliaoapp.musically
❌ Sicherheitswert: 40/100
Risikoeinstufung: B (Mittleres Risiko)!

Auch auf der Android-Plattform sind die Probleme ähnlich:

  • Für die Anwendung sind 75 Genehmigungen erforderlich
  • Versuch, SSL-Pinning zu umgehen
  • Verwendet schwache Verschlüsselungsalgorithmen, sendet Daten in offener Form (Klartext)
  • Erfasst alle vom Benutzer eingegebenen Daten innerhalb der Anwendung

Was ist mit anderen Plattformen?

Es ist wichtig zu beachten, dass andere soziale Apps wie. Instagram, Facebook, Twitter, usw.

Deshalb haben wir uns interessehalber die Instagram-App für iOS angeschaut. Wie hat sie sich geschlagen? Noch schlimmer als TikTok… Meta, das Unternehmen hinter der Instagram-App, unterliegt zwar nicht dem chinesischen Recht, aber das Verhalten der App ist dennoch alarmierend.

🔴 INSTAGRAM für Apple-Geräte
Bezeichner: com.zhiliaoapp.musically
❌ Sicherheitsbewertung: 26/100
Rist-Einstufung: F (Kritisches Risiko)❗️❗️

Warnen ist eine Sache, aber wie lassen sich die entsprechenden Maßnahmen technisch umsetzen?

Mobile Device Management (MDM), oder Unified Endpoint Management (UEM), ist eine Lösung, die:

Für reine Arbeitsmittel (COBO) kann es:

  • Entweder Sie kontrollieren die Installation von Anwendungen vollständig und beschränken die Liste der Anwendungen auf diejenigen, die ausdrücklich zugelassen sind,
  • oder unerwünschte Anwendungen erkennen und Abhilfemaßnahmen automatisieren – z. B. den Gerätezugriff auf die Daten des Unternehmens vorübergehend sperren.

Die Installation oder Nutzung von TikTok kann vollständig verhindert werden.

Bei BYOD- oder Unternehmensgeräten mit privatem Profil (COPE) ist dies möglich:

  • Sichern Sie die Daten des Unternehmens mit der Containerisierungstechnologie und trennen Sie sie von privaten Daten.
  • Schränken Sie den Zugriff auf Ihren Kalender und Ihre Kontakte in Ihrem Arbeitsprofil ein.
  • Steuern Sie die gemeinsame Nutzung von Daten über die Zwischenablage zwischen privaten und geschäftlichen Profilen.

Sie kann daher den Umfang der Daten, auf die TikTok zugreifen kann, einschränken.

Neue Versionen mobiler Betriebssysteme legen großen Wert auf den Schutz der Privatsphäre der Nutzer. So ist es nicht mehr notwendig, sogenannte nicht rücksetzbare Gerätekennungen (MAC, IMEI…) auf der Anwendungsebene zu erkennen und zur Verfolgung des Geräts zu verwenden.

Mit der Verwaltung mobiler Geräte können wir eine Aktualisierung des Betriebssystems (OS) erzwingen und auch die Mindestversion des OS festlegen, die für den Zugriff auf die Daten des Unternehmens zugelassen ist.

Die nächste Stufe der mobilen Sicherheit ist die Integration von MDM/UEM-Lösungen mit modernen Mobile Threat Defense (MTD)-Tools.

Mit MTD können wir Geräte vor anderen Angriffsvektoren wie Privilegienerweiterung, Geräteübernahme, Netzwerkangriffe und Phishing schützen.

Weitere Artikel

Wir leben mit digitalen Technologien. Und deshalb schreiben wir über sie.

Neueste Artikel
 Weitere Artikel
1/10

Oder kontaktieren Sie uns direkt

Kontaktieren Sie uns

Füllen Sie unser Formular aus und erhalten Sie innerhalb weniger Tage ein Angebot für ein unverbindliches Beratungsgespräch.

    Kontakt - Martina Pliskova